Microsoft Intune ervaringentopic

Het kost natuurlijk ook "human resources".
In onze teams zijn admins met verschillende zaken bezig en hebben we geen tot zeer weinig dedicated admins of teams per expertise of dat nu Intune is of M365/Teams/Sharepoint.
Ik doe veel werk in Intune qua onderhoud van apps of configuration. De servicedesk medewerkers doen werk wat betreft device management, zowel Windows devices als Android en ioS devices. En onze security specialisten doen weer veel in Intune op gebied van CA policies, vulnerability management, wellicht een remediation script om sommige vulnerabilities te counteren, etc.
We maken al gebruik van PIM en zijn bezig met phishing resistant MFA voor de admin accounts.
Maar als ik requests van mijn collega's de hele dag moet gaan zitten beoordelen en goedkeuren, of vice versa, dan komen we niet aan ander werk toe. Dus ja, ik zie zeker de "noodzaak of wens" maar ook direct een gebrek aan capaciteit wat ik niet verwacht dat snel ingevuld zal worden.

Het ligt ook een beetje aan of je qua MSP er beheer voor doet of inhouse zit. 99% van onze klanten zit zelf niet in M365 rond te hangen namelijk.
Die paar klanten die wel een eigen IT hebben, daar zou dit wel mooi voor kunnen zijn.

Blokker_1999 schreef op dinsdag 17 maart 2026 @ 11:51:
Ik zie de mensen hier al reageren als ik ga pushen voor multi admin approval. Het is in de basis een quick-win, maar er gaat zo hard op gevloekt worden. Ga al blij zijn als ik deze week de goedkeuring erdoor krijg voor verder te gaan met phishing resistant MFA en we in Q2 eindelijk met PIM kunnen beginnen. Want ook daar gaat volgens mij al op gevloekt worden. Te veel mensen zien security continue als een manier waarop men werken moeilijk maakt en alles maar vertraagd 😟

Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

In de praktijk is least privilege en phishing-resistant MFA inloggen veel belangrijker dan multi-admin approval. Bij deze specifieke aanval had multi-admin approval sowieso weinig toegevoegde waarde gehad. Blijkbaar was de global admin gephished. Als multi-admin approval aangestaan zou hebben kon hij gewoon een 2de gebruiker aanmaken, die de juiste rechten geven en alsnog approven.

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Hangt misschien af qua grootte denk ik.
Support heeft bijvoorbeeld geen toegang tot global admin accounts van klanten, die kunnen enkel en alleen via CIPP /Lighthouse werken voor een klant.
Dan blijft beheer/M365 over natuurlijk. En er valt verder wat te zeggen, maar momenteel zijn we wel bezig met het instellen van beheeraccounts met fysieke FIDO keys.
K heb gemerkt dat het kan tegenwoordig met gedeelde passkeys, maar dat is juist wat ik niet wil.

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Herkenbaar helaas. Ik ben meer dan een jaar bezig geweest om awareness te creeeren op het gebied van least-privilege. Medewerkers van een MSP willen vooral productief zijn en dat is geen gekke gedachte. Ze hebben een service-verlenende mindset en willen het probleem van bijv. een gebruiker zsm oplossen.

Bij sommige MSP's durf ik te stellen (bij ons gelukkig niet) dat je wordt afgerekend op de hoeveelheid tickets die je oplost. Als er dan een proces zoals PIM bij komt kijken is dat niet fijn. Liever inderdaad GA en meteen overal toegang tot hebben ipv stapsgewijs de juiste rol pimmen om het probleen te pinpointen en op te lossen, wat alleen maar vertragend werkt.

Binnen een jaar tijd hebben we bij al onze klanten eligible pim-rollen op basis van het kennisniveau en ervaring van de medewerker, breakglass accounts die we periodiek testen en zijn we nu ook overal fido2 aan het uitrollen. Ons SOC werkt vrijwel alleen maar via GDAP en rollen die we gedeployed hebben met Microsoft Lighthouse. Kost even wat tijd, maar dan heb je ook wat.

Een volgende stap bij ons is wel dat we de rol Intune Administrator zoveel mogelijk willen gaan beperken. De security groepen kun je koppelen aan RBAC rollen in Microsoft Intune en weer beveiligen met PIM for Groups. Andere processen in Intune (direct of via integratie) worden steeds meer geautomatiseerd (Windows Updates via Autopatch en applicatie's worden gepatched via PatchMyPC), dus er zijn ook steeds minder redenen om gebruikers Intune Administrator te maken.

[ Voor 21% gewijzigd door FREAKJAM op 17-03-2026 13:51 ]

HKLM_ schreef op dinsdag 17 maart 2026 @ 15:41:
[...]


Dat is wel een leuke, als je de enige bent is het vaak al helemaal onmogelijk, wat je dan nog aanvullend kan doen is via conditional access met authentication context zorgen dat je als admin wel de dingen mag doen maar alleen onder bepaalde voorwaarde. Zo mag ik bijvoorbeeld alleen conditional access policies aanpassen of uitzetten vanaf onze eigen locatie i.c.m een compliant device.

Het is heel leuk om alleen te zijn. Jje hoeft namelijk geen rekening te houden met de hersenkronkels van een andere admin waar je het natuurlijk, als echte autistische IT'er die alles beter weet, toch niet mee eens bent Conditional Access is op dit moment nog een ver van mijn bed show helaas. Het staat hoog op de lijst van uit de zoeken dingen, maar het is er simpelweg nog niet van gekomen. Het is een vraagstuk waar je in mijn ogen echt voor 200% in moet duiken, bij voorkeur zonder afleiding.

Die voorwaarden is inderdaad iets wat mijn aandacht ook heeft. Ik zou echter in mijn geval eerder inzetten op phising resistant MFA afdwingen bij admin acties, simpelweg omdat ik lang niet altijd op de kantoorlocatie ben. Ik ben liever wat flexibeler, als ik op de camping met een te gare verbinding iets móet instellen dan moet dat wel werkbaar blijven.

Ongetwijfeld een vraag waar je over nagedacht hebt, maar heb je wel een escape voor als je eigen locatie niet beschikbaar is? Want een extra locatie aan de CA toevoegen in een noodsituatie wordt anders nogal een dingetje

Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

*knip* pluggen van je eigen dienst lijkt me niet helemaal de bedoeling.

Vragen of feedback? Graag hier of via de e-mail.

[ Voor 4% gewijzigd door TheVMaster op 17-03-2026 16:12 ]

TarikG schreef op dinsdag 17 maart 2026 @ 16:07:
Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

Te vinden op: **redacted**

Vragen of feedback? Graag hier of via de e-mail.

GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Thanks voor de snelle (maar ik was sneller ) reactie.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Zeker niet de bedoeling om zieltjes te winnen hoor, het is een community tool en ik dacht dat dit topic een geschikte plek was om het te delen. Maar geen enkel probleem, ik zal even met de mods overleggen wat de mogelijkheden zijn. Bedankt voor de interesse in ieder geval!

Drardollan schreef op dinsdag 17 maart 2026 @ 16:15:
[...]

Een zinloze vraag zoals ik al verwachte ;-)

Phising resistant moet ik ook nodig naar kijken, maar daarmee en met CA policies zitten we eigenlijk niet in het juist topic.

Tijd voor een Entra ID topic Spuit 11, die bestaat al.

[ Voor 8% gewijzigd door FREAKJAM op 17-03-2026 16:27 ]

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:25:
[...]


Tijd voor een Entra ID topic

Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Drardollan schreef op dinsdag 17 maart 2026 @ 16:28:
[...]


Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:29:
[...]

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

Zelfs voor de portal overviews van MS zijn dus meerdere overview portals. Wat een genot om in 2026 te leven als beheerder

pstalman schreef op dinsdag 17 maart 2026 @ 10:56:
[...]

<v5:StartPins><![CDATA[{
"pinnedList":[

{"desktopAppLink":"%AllusersProfile%\\Microsoft\\Windows\\Start Menu\\Programs\\<browser.lnk>"},


}]]>
</v5:StartPins>

Iets dumpen zonder uitleg is niet echt zinvol en imo beledigend.

HKLM_ schreef op dinsdag 17 maart 2026 @ 11:20:
@Hero of Time Is dit wat je zoekt? https://petervanderwoude....ut-on-windows-11-devices/ samen met https://petervanderwoude....tomizable-taskbar-layout/

Beide allang gevonden. En als je m'n post fatsoenlijk had gelezen, had je ook gezien dat ik verschillende config opties heb geprobeerd en dat dit voor de lokale kiosk gebruiker niks doet. Wel m'n Entra gebruiker, maar die worden niet voor de kiosk gebruikt. Heb zelfs via een OMA-URI een XML geladen voor pinned startmenu. In de XML had het ik het GUID gebruikt dat ik als winning policy zag, maar dat geeft uiteraard direct een conflict.

Er zit dus iets dat een leeg start menu geeft, de optie voor pinning aan start en taakbalk voorkomt en je er niks mee kan. Vandaag dus nog wat verder op gezocht en kom berichten tegen van gebruikers die het perfect hadden werken met 23H2, maar op het moment dat 24H2 werd toegepast, was het stuk. Dus geweldig weer MS, meer dan een jaar later is het nog steeds naar de klote. En de enige potentiële oplossing die ik tegen kom is een OMA-URI XML te maken met je config. Lekker ruk dus weer, klinkt namelijk enorm als de enorme login scripts die je vroeger had om drive mappings en printers te configuren. Good old kixtart.

Het gaat toch alleen op kantoor staan, voor productie waar bezoekers op werken is al volledig afgeschermd en single app kiosk. Ben al te veel tijd kwijt aan dit gezeik van MS.

M'n tweede puntje heb ik met een OMA-URI item ook opgelost, skip user step oid om niet de ESP te zien als een ongelicenseerde cloud gebruiker inlogt (zoals m'n admin).

Ach, we zijn toch inmiddels allemaal toch al gewend dat Hero gewoon altijd elke dag wel een keer wil ranten op MS? 😋

HKLM_ schreef op dinsdag 17 maart 2026 @ 19:05:
[...]

Doe eens ff rustig joh, probeer gewoon wat te helpen.

Sorry, maar het is gewoon zo frustrerend als je documentatie volgt en dan gewoon niet het resultaat krijgt wat je hoort te krijgen omdat de fabrikant (MS in dit geval) de boel al lange tijd heeft gesloopt zonder oplossing.

Een vraagje over deployment profiles. Destijds bij configuratie van onze intune ('21-'22) was het algemene advies om 'autmatically configure keyboard' op "no" te zetten want dit werkte toen niet goed.
Language region bij ons is Dutch Belgium en we werken met een Azerty layout.
Op zich zo'n setting in de categorie 'set and forget', maar we zijn ondertussen dik 4 jaar verder.
Er is nog eens een grote batch toestellen onderweg en ik merk bij een eerste toestel dat de OOBE in QWERTY staat (nl-NL), nl-BE is wel aanwezig. Ik heb het gisteren gefixt met een .bat file uitgevoerd vanaf usb om het goed te zetten.

Heeft het nu te maken met de image die de leverancier erop heeft gezet of is het onze deployment profile die dit veroorzaakt? Is het ondertussen wel betrouwbaar om 'automatically configure keyboard' op "yes" te zetten en dan een nl-BE keyboard layout te krijgen?

Daar kan ik spijtig genoeg niet op antwoorden want wij, als Belgische firma, gebruiken qwerty toetsenborden vanwege ons groot internationaal personeelsbestand. Iedereen hetzelfde toetsenbord, ongeacht wat je gewoon bent. Was de eerste maanden een mindfuck, maar ondertussen wel gewoon. Wij slaan die instelling dan ook gewoon over, al heeft ook ons dat op een gegeven moment problemen opgeleverd omdat onze OEM ons een Belgische image gaf op onze laptops ondanks dat we dus met een US International toetsenbord zitten, en krijgen we dan ineens een azerty layout in de OOBE ondanks het qwerty toetsenbord in het apparaat. Hebben we bij de OEM toch ook eens op tafel moeten kloppen dat zoiets echt niet kan. Ik verwacht dat jij tegen het omgekeerde probleem aanloopt op dit moment.

Drwho1 schreef op woensdag 18 maart 2026 @ 10:13:
Een vraagje over deployment profiles. Destijds bij configuratie van onze intune ('21-'22) was het algemene advies om 'autmatically configure keyboard' op "no" te zetten want dit werkte toen niet goed.
Language region bij ons is Dutch Belgium en we werken met een Azerty layout.
Op zich zo'n setting in de categorie 'set and forget', maar we zijn ondertussen dik 4 jaar verder.
Er is nog eens een grote batch toestellen onderweg en ik merk bij een eerste toestel dat de OOBE in QWERTY staat (nl-NL), nl-BE is wel aanwezig. Ik heb het gisteren gefixt met een .bat file uitgevoerd vanaf usb om het goed te zetten.

Heeft het nu te maken met de image die de leverancier erop heeft gezet of is het onze deployment profile die dit veroorzaakt? Is het ondertussen wel betrouwbaar om 'automatically configure keyboard' op "yes" te zetten en dan een nl-BE keyboard layout te krijgen?

Kan een combinatie zijn. Wij hebben systemen van Dell besteld en toen we anderhalf jaar geleden met de uitrol van Intune begonnen, hebben we de vraag voor toetsenbord ook aangezet ipv automatisch accepteren. De regio staat bij ons al op Dutch/NL, maar het vervelende was dat als het toetsenbord automatisch gekozen zou worden, we ook echt een Nederlandse indeling kregen, ipv VS Internationaal. De speciale tekens zitten dan op andere plekken dan fysiek op het toetsenbord staan. Ook voor de self-deploy configuratie kies ik zelf de toetsenbordindeling.

TheVMaster schreef op woensdag 18 maart 2026 @ 11:44:
[...]

Je weet onderhand toch ook wel dat de documentatie niet altijd volledig is en er wordt ook wel vaak uitgegaan van eigen ervaring/kennis. Foutjes moet je natuurlijk ook altijd ff doorgeven. Feedback wordt vaak wel snel opgepakt en verwerkt.

Het is niet een probleem in de documentatie, maar het toepassen van de configuratie. Tot ik er gisteren verder naar zocht, wist ik niet dat MS dat sinds 24H2 verkloot heeft en dus wat anders doet dan je configureert. Enige puntje wat afwijkt in de documentatie met wat ik zie, is de knop 'add MS Edge' in de Kiosk multi-app configuratie screenshot. Die heb ik niet (meer). Daar heb ik niet zo'n probleem mee, er is immers enorm veel te documenteren en een plaatje kan nou eenmaal licht afwijken met de werkelijkheid door de constante veranderingen in de interface. Zolang de stappen niet compleet afwijken en het gedocumenteerde pad nog bestaat zal 't mij een worst zijn eigenlijk. Meer dan een maand verwijzen naar niet bestaande locaties is wel heel kwalijk. Moet een autofabrikant eens doen als je het volume van de radio via een touch interface moet wijzigen van maximum af en het pad dat in de handleiding staat er niet meer is.

Toch maar eens verder gekeken met AutoPatch naar aanleiding van de berichten hier dat je WU policies kan aanpassen zodat de reboots wat prettiger zijn voor de users. AutoPatch heeft, zo is mijn conclusie, 1 groot voordeel en dat is dat er een actieve agent geïnstalleerd wordt wat zou moeten zorgen voor een betere en snellere rapportage. De WUfB is leuk, maar soms duurt een rapportage dagen.

Maar dan kom ik er dus achter dat AutoPatch de HotPatch uitschakelt. Daar irriteer ik mij dan weer aan, juist HotPatch is een mooie (en zeer lang verwachte) vooruitgang. Dus zit al een beetje te kijken of ik het aan moet of kan zetten ergens. Kom ik bij toeval op het Intune Message Center, lees ik daar:

Plan for Change: Windows Autopatch is enabling hotpatch updates by default

Starting with the May 2026 Windows security update, Windows Autopatch is enabling hotpatch security updates by default because they are the quickest way to get secure. This change in default behavior will impact all eligible Intune devices. Additional controls are expected in April.

Genoeg reden om er nu vooral zelf geen tijd in te gaan stoppen, over ruim een maand gaat het vanzelf goed komen.

Wel echt Microsoft anno nu hoor dit, elke nieuwe feature in de afgelopen 3 jaar is amper af te noemen. Ze droppen het een na het ander en vervolgens moet je op je blote knieën tot de MS goden smeken of ze het ook echt bruikbaar willen maken binnen nu en een jaar.

En dan de vraag of het echt beschikbaar is of niet / pas veel later ?
Zo zit ik (niet intune gerelateerd) al maanden te wachten tot DRS2.2 eindelijk bij Azure WAF aangezet kan worden, officieel released maar wil je het aanzetten heb je een developer flag nodig die er niet is. (zelfs via supportticket gehoord....)

DDX schreef op vrijdag 20 maart 2026 @ 10:12:
En dan de vraag of het echt beschikbaar is of niet / pas veel later ?
Zo zit ik (niet intune gerelateerd) al maanden te wachten tot DRS2.2 eindelijk bij Azure WAF aangezet kan worden, officieel released maar wil je het aanzetten heb je een developer flag nodig die er niet is. (zelfs via supportticket gehoord....)

In mijn beperkte IT omgeving merk ik het bij andere leveranciers eigenlijk nooit, als daar wat gereleased wordt dan is het eigenlijk altijd wel behoorlijk af. Bij Microsoft merk ik meer en meer dat het maar een half af of een houtje touwtje feature is. Natuurlijk heb ik er begrip voor dat dingen soms moeten uit kristaliseren, maar in mijn geval hierboven is het toch bizar dat je enerzijds AutoPatch introduceert en anderzijds HotPatch (wat beiden wat mij betreft een grote en welkome verbetering is ten opzichte van de oude situatie) om dan de HotPatch niet direct mee te nemen in AutoPatch... Ik vind dat echt verbazend.

Denk wel dat ik een idee heb hoe het komt, MS is zo groot geworden dat elke feature door een ander team wordt bedacht en gemaakt. Maar overleg tussen de teams is er maar zeer sporadisch en lijkt pas op gang te komen als beide teams een feature gereleased hebben. Waarna er mensen wakker schrikken dat het één nog wel aan het ander geknoopt moet worden. Dit gecombineerd met het schrappen van de testafdeling levert ontzettend vervelende situaties op voor de klant.

Aan de andere kant, als je mij (en ik denk menig beheerder) 5 jaar geleden verteld had wat er in 2026 mogelijk zou zijn vanuit de MS cloud (in de breedste zin denkbaar) dan was die verteller keihard uitgelachen en weggezet als gekkie.

MS heeft jaren terug heel veel moeite gehad om de cloud te omarmen en fatsoenlijk in te richten (het draaide eigenlijk gewoon op publiek beschikbare AD servers aangevuld met de standaard MS tools als Exchange en SharePoint). Pas de laatste paar jaar merk je dat ze dat onder controle beginnen te krijgen en zijn ze begonnen aan het verbeteren van de onderliggende systemen. Concreet voorbeeld is dat je technisch gezien 1 Entra P1 licentie nodig hebt om in een hele tenant de aan die licentie gekoppelde opties in te schakelen. Ze hadden geen methode ingericht om hier iets tegen te doen, behalve opnemen in de licentievoorwaarden. Recent is dit gewijzigd, ze zijn begonnen om dit in kaart te brengen (en volgens mij ook notificeren richting klanten, maar daar ben ik niet zeker van) en de volgende stap zal ongetwijfeld zijn dat er maatregelen worden genomen om het te voorkomen. Een goed voorbeeld waar je ziet dat nu de tijd is gekomen om stappen te kunnen maken.

Zelf ben ik daarom vrij terughoudend met nieuwe features binnen de MS cloud stack. Laat het eerst maar eens een beetje landen en de eerste fase doorkomen. Dan is er simpelweg meer kans op een product wat goed bruikbaar is. Iets wat de meeste beheerders vroeger ook al deden, nagenoeg geen enkele beheerder ging iets upgraden op de dag dat er een nieuwe versie uitkwam. Tegenwoordig bestaan ze niet meer, maar de meeste beheerders hielden vroeger aan dat ze pas na "ServicePack 1" het product eens gingen bekijken.

We zijn bezig met te kijken of we de enkele macbooks die we hebben kunnen migreren van Jamf naar Intune, maar in de laatste rechte lijn zijn we aan het struikelen over de wifi. Voor onze wifi gebruiken we NPS als radius server en de test macbooks zijn met geen stokken op onze wifi te verbinden. Zowel user als device channel falen en het feit dat er geen goede logging is op Apple devices is ook ergerlijk, tesamen met het feit dat een aanpassing aan een policy niet onmiddelijk te syncen is.

Want dat is iets wat Jamf echt wel goed doet. Je past een policy aan, en onmiddelijk kan die naar je device gepushed worden. In Intune kan je op die sync knop klikken zoveel je wenst, je kan je device status blijven checken in de company portal zoveel je wenst, maar de policy komt erdoor wanneer Intune zin heeft.

@Drardollan, het feit dat MS vele functionaliteit beschikbaar maakt voor alle gebruikers ook al heeft maar 1 gebruiker een licentie kan je ook in een ander licht bekijken. Bedrijven gaan het uittesten, gaan zien dat het goed werkt, gaan het implementeren om er pas later achter te komen dat ze er voor moeten betalen. Op dat moment is het vaak te laat om alles ongedaan te maken en zit je dus weer met een bijkomende licentie die je moet gaan betalen. Ook dat is volgens mij onderdeel van het verdienmodel geweest.

Blokker_1999 schreef op vrijdag 20 maart 2026 @ 15:38:
@Drardollan, het feit dat MS vele functionaliteit beschikbaar maakt voor alle gebruikers ook al heeft maar 1 gebruiker een licentie kan je ook in een ander licht bekijken. Bedrijven gaan het uittesten, gaan zien dat het goed werkt, gaan het implementeren om er pas later achter te komen dat ze er voor moeten betalen. Op dat moment is het vaak te laat om alles ongedaan te maken en zit je dus weer met een bijkomende licentie die je moet gaan betalen. Ook dat is volgens mij onderdeel van het verdienmodel geweest.

Dat is een bekende methode uit de WordPerfect tijd, laat mensen het thuis gratis gebruiken en ze zorgen er vervolgens voor dat elk bedrijf waar ze gaan werken het praktisch opgedrongen krijgt.

Ben er niet van overtuigd dat het bewust een strategie van Microsoft is (geweest), het heeft wel altijd in de licentievoorwaarden gestaan. Elk serieus bedrijf zal die toch lezen zou je zeggen. Denk dat het eerder een prettige bijvangst is, door niet heel actief te acteren als MS zijnde creëer je een soort van "grijze situatie". Het zal een mix zijn uiteindelijk, gebaseerd op de afweging wat meer oplevert. Direct handhaven levert nu op, maar dwingt ook tot tijd (en dus geld) in ontwikkeling. Uitstellen levert later geld op en je kan de tijd nu inzetten op zaken die meer opleveren.

Uiteindelijk zijn het maar de relatief kleine visjes die in de situatie mee gegaan zijn. Een wat groter bedrijf gaat echt de licentievoorwaarden niet schenden voor dat soort kleine bedragen. Los van de vraag of ze dat al niet afgedekt hebben in een licentieovereenkomst. En zelfs de kleinere bedrijven zie je meer en meer richting BP vertrekken, dat is natuurlijk ook waar ze serieus op ingezet hebben de afgelopen jaren.

[ Voor 4% gewijzigd door Drardollan op 20-03-2026 15:47 ]

Licentievoorwaarden lezen is 1 ding. Maar op het moment dat je oplossingen zoekt voor iets wat gevraagd wordt, ga je niet altijd nagaan onder welke licentie die oplossing beschikbaar is natuurlijk. Het werkt in je omgeving, dus zal het wel in orde zijn, niet?

En zo klein zijn de bedragen niet bij grote bedrijven. Als je elke maand 1 euro per gebruiker extra moet uitgeven, maar je hebt 10k gebruikers, reken maar uit wat het je op jaarbasis kost.

Blokker_1999 schreef op vrijdag 20 maart 2026 @ 15:38:
We zijn bezig met te kijken of we de enkele macbooks die we hebben kunnen migreren van Jamf naar Intune, maar in de laatste rechte lijn zijn we aan het struikelen over de wifi. Voor onze wifi gebruiken we NPS als radius server en de test macbooks zijn met geen stokken op onze wifi te verbinden. Zowel user als device channel falen en het feit dat er geen goede logging is op Apple devices is ook ergerlijk, tesamen met het feit dat een aanpassing aan een policy niet onmiddelijk te syncen is.

Ik had device certificaten, maar sinds strong mapping vereist is, werkt dit niet voor Macbooks. Schier onmogelijk! Wat ik ook deed, het SID kwam er maar niet bij van het computer object, maar die van de gebruiker, want de Intune processen draaien niet onder het systeem context.

Toen ik de gebruikerscertificaten toewees en het wifi profiel hier naar verwees, werkte het eigenlijk wel direct. Zorg wel dat de strong mapping register key aanwezig is op de Intune Certificate Proxy server en dat het template voor je user certificaten ook de juiste informatie meegeeft. Het standaard template voor 'User' heeft net als die voor 'Computer' niet genoeg mogelijkheden.

Vast ten overvloede, want het is zo gevonden, maar https://learn.microsoft.c...ttings-apple?pivots=macos geeft je iig een paar punten om naar te kijken. Het gaat helaas niet in op de exacte configuratie voor het certificaat zelf.

Voordat de strong mapping op enforcing werd gezet, had ik het prima werkend met device certificaten. Het was daarna eigenlijk wel eenvoudig om het om te zetten naar user certs. Let ook op de keychain locatie, die moet logischerwijs op user ipv device staan.

Want dat is iets wat Jamf echt wel goed doet. Je past een policy aan, en onmiddelijk kan die naar je device gepushed worden. In Intune kan je op die sync knop klikken zoveel je wenst, je kan je device status blijven checken in de company portal zoveel je wenst, maar de policy komt erdoor wanneer Intune zin heeft.

Je zou wel in je CA moeten zien of er een certificaat aangevraagd is door je apparaat. Ik zag het daar bijvoorbeeld eerder dan bij het policy in Intune. Maar uiteindelijk zat er ook maar een paar minuten verschil tussen, het ging eigenlijk vrij vlot bij mij. Al is het al weer eventjes geleden dat er een verandering in de config is gemaakt.

Ik heb nog wel een side note voor je. Weet je echt zeker dat je van Jamf af wilt stappen? Want ik vind de mogelijkheden in Intune erg karig en toen MacOS met wifi privacy kwam (waarbij het MAC adres van de adapter wordt aangepast), was dit zelfs een half jaar later nog niet te configureren in Intune. Heb er sindsdien niet meer naar gekeken, maar zou mij niet verbazen als het nog steeds niet mogelijk is.
Heb je dus al bekeken of al je configuratie nog mogelijk is en minstens net zo uitgebreid kan?

Het certificaat zelf is volledig in orde, dat zien we inderdaad staan en de strong mapping is ook aanwezig. Heb het ook vergeleken met het cert op een andere macbook die met Jamf wordt gedeployed en zie daar al geen verschil.

Ook gemerkt dat de collega die het profiel had aangemaakt een cruciale fout had gemaakt die me lang niet was opgevallen. De SSID was gescreven in alleen hoofdletters, terwijl deze mixed moest zijn. Zo onnozel, maar daar verlies je verdomd veel tijd mee 😅.

Nu zie ik de requests toch al tot op de NPS server komen, alleen nog niet vertrouwd, maar daar heb ik ook een idee van wat de oorzaak is. Alleen wilde het Wifi profiel niet meer tijdig syncen voor ik gisteren naar huis vertrok.

De verhuis van Jamf naar Intune is niet eens onze keuze, we moeten vanuit management. Zij wensen 1 beheersplatform in plaats van 2. Ondanks dat ze dit al jaren vragen hebben we lang vast gezete. Wat ons altijd heeft tegengehouden is het ontbreken van bepaalde functionaliteit zoals geen LAPS alternatief, maar dat is er ondertussen wel. Onze gebruikers mogen namelijk geen beheerder zijn op hun eigen toestel.

Liefst van al zouden we zelf de macbooks wegdoen. We verliezen daar zoveel tijd mee voor iets dat slechts 1% van al onze apparaten uitmaakt. En minstens 1 keer per jaar krijgen we wel van macbook gebruikers de vraag of we hen geen virtuele machine met Windows kunnen geven want ze kunnen bepaalde software niet draaien 🤦.

Blokker_1999 schreef op zaterdag 21 maart 2026 @ 09:16:
Het certificaat zelf is volledig in orde, dat zien we inderdaad staan en de strong mapping is ook aanwezig. Heb het ook vergeleken met het cert op een andere macbook die met Jamf wordt gedeployed en zie daar al geen verschil.

Ook gemerkt dat de collega die het profiel had aangemaakt een cruciale fout had gemaakt die me lang niet was opgevallen. De SSID was gescreven in alleen hoofdletters, terwijl deze mixed moest zijn. Zo onnozel, maar daar verlies je verdomd veel tijd mee 😅.

Nu zie ik de requests toch al tot op de NPS server komen, alleen nog niet vertrouwd, maar daar heb ik ook een idee van wat de oorzaak is. Alleen wilde het Wifi profiel niet meer tijdig syncen voor ik gisteren naar huis vertrok.

De verhuis van Jamf naar Intune is niet eens onze keuze, we moeten vanuit management. Zij wensen 1 beheersplatform in plaats van 2. Ondanks dat ze dit al jaren vragen hebben we lang vast gezete. Wat ons altijd heeft tegengehouden is het ontbreken van bepaalde functionaliteit zoals geen LAPS alternatief, maar dat is er ondertussen wel. Onze gebruikers mogen namelijk geen beheerder zijn op hun eigen toestel.

Liefst van al zouden we zelf de macbooks wegdoen. We verliezen daar zoveel tijd mee voor iets dat slechts 1% van al onze apparaten uitmaakt. En minstens 1 keer per jaar krijgen we wel van macbook gebruikers de vraag of we hen geen virtuele machine met Windows kunnen geven want ze kunnen bepaalde software niet draaien 🤦.

Jamf is superieur aan Intune. Microsoft geeft meer liefde aan Windows in Intune dan macOS. Goh wat gek hé?

Kost Jamf zoveel knaken voor die paar apparaten dan? Fijn dat het management technische keuzes maakt.

Het gaat hem natuurlijk ook niet alleen om de licentiekost van Jamf, want die is uiteraard betaalbaar, maar ook dat je 2 platformen moet kennen en onderhouden wat niet altijd even handig is. Er gaat disproportioneel veel tijd zitten in de macbooks, mede omdat het er zo weinig zijn.

Bij ons hebben de ontwikkelaars een Macbook. Handje vol medewerkers effectief, en omdat ze veel zelf moeten kunnen, zijn ze ook local admin. Wel fijn om te zien dat er nu dus toch iets van lokaal account beheer aanwezig is, want nu hebben ze hetzelfde wachtwoord (is onze semi-standaard). We moeten tevens 1 Macbook opnieuw installeren want niemand weet het wachtwoord van de lokale gebruiker en die is ook de enige met een secure token van het OS en die is nodig voor FileVault encryptie. Admin rechten geeft je niet per definitie een token. Wil je die naderhand geven, dan moet dat met het account dat er wel een heeft. Oeps, dat wachtwoord is niet bekend.

Hoe dan ook, dat je requests op je NPS server ziet helpt al enorm in het uitvogelen wat er eventueel mis gaat. Schijfwijze van het SSID is idd ook zo'n dingetje. Gelukkig niet zelf meegemaakt. Maar hoewel de logs soms wat aparte omschrijving kunnen hebben, is er wel fatsoenlijke informatie mee te vinden online.

Hero of Time schreef op zaterdag 21 maart 2026 @ 12:59:
Bij ons hebben de ontwikkelaars een Macbook. Handje vol medewerkers effectief, en omdat ze veel zelf moeten kunnen, zijn ze ook local admin. Wel fijn om te zien dat er nu dus toch iets van lokaal account beheer aanwezig is, want nu hebben ze hetzelfde wachtwoord (is onze semi-standaard). We moeten tevens 1 Macbook opnieuw installeren want niemand weet het wachtwoord van de lokale gebruiker en die is ook de enige met een secure token van het OS en die is nodig voor FileVault encryptie. Admin rechten geeft je niet per definitie een token. Wil je die naderhand geven, dan moet dat met het account dat er wel een heeft. Oeps, dat wachtwoord is niet bekend.

Hoe dan ook, dat je requests op je NPS server ziet helpt al enorm in het uitvogelen wat er eventueel mis gaat. Schijfwijze van het SSID is idd ook zo'n dingetje. Gelukkig niet zelf meegemaakt. Maar hoewel de logs soms wat aparte omschrijving kunnen hebben, is er wel fatsoenlijke informatie mee te vinden online.

Uiteindelijk bleek de oorzaak te liggen bij het certificaat dat we gebruikten om de NPS server zichzelf mee te laten identificeren. Om een onbekende reden hebben we op alle NPS servers en in alle profielen daar gezet op het root cert van onze CA. En met het Jamf profiel dat we nog hebben werkt dat, maar blijkbaar zit er toch een verschil in hoe Intune het doet, want daar wordt dit niet aanvaard. Misschien forceert de ene TLS1.2 en de andere 1.3?

Nadat ik een nieuw test policy op de NPS server had gezet en hier het serverspecifieke cert aan had gehangen, en in het configuratieprofiel uiteraard de juiste namen had meegegeven, werkte alles zonder problemen.

Weer een migratie waar we een uitsplitsing gaan moeten maken op NPS profielen. Bij de Win10 naar Win11 migratie hebben we dat ook moeten doen. Al ben ik daar de reden alweer vergeten

Wat bedoel je met 'profielen' in NPS? Ik heb op onze NPS één Network Request Policy en daarna aparte Network Policies per SSID, waar het Caller-ID de netwerknaam bevat (moet je APs die ook mee sturen, dat is optioneel maar wel dus vereist als je dit op deze manier gebruikt). Eigenlijk heel basic bij m'n opzet. De authentication methods in het Network Policy doet dan alleen certificaten en geeft het server certificaat als identity mee voor clients om zeker te zijn dat ze met de juiste verbinden. Dit werkt met Windows, Linux en MacOS. Waarbij voor MacOS de certificaten van de gebruiker is, Windows en Linux (mijn eigen systeem, er is maar 1 Linux client ) zijn device certificaten.

policies inderdaad, geen profielen. Onze Windows devices hebben een eigen policy want daar vereisen we o.a. dat het device domain joined is. Bij de macbooks kan dat niet, dus daar kijken we of het een gebruiker is die een mac mag hebben. Vroeger, in een ver en duister verleden konden we niet vertrouwen op gebruikerscertificaten omdat die een exporteerbare private key hadden, maar dat is ondertussen ook al weer enkele jaren verleden tijd.

Maar we moeten stilaan beginnen kijken naar een andere oplossing dan NPS, want als we in de toekomst non-hybrid gaan, dan wordt het toch echt moeilijk om onze wifi authenticatie te laten afhangen van het domein

Ja, dat willen wij ook. Het gaat nu veel te vaak fout met de certificaten bij een hybrid-joined systeem waarbij het certificaat gewoonweg geen strong mapping bevat omdat die al wordt aangevraagd voordat het object in AD bestaat. Zelfs met m'n rename script gaat het alsnog fout.

Ik wil nog een PoC maken met FreeRadius, maar we blijven waarschijnlijk bij Aruba Clearpass voor o.a. poort authenticatie en dynamische VLANs. Het kan ook 802.1x met certificaten. Voor 802.1x user authenticatie is het nodig dat Clearpass bij AD is aangemeld en NTLM babbelt. Maar dat gaat binnenkort stuk omdat MS eindelijk NTLM uit faseert. Iets wat ze 20 jaar geleden al zeiden te gaan doen.

Error 65000. Die is weer van legendarisch Microsoft niveau. Net als de BSOD schermen die je niks ander vertellen dan dat je OS dood is gegaan en reanimatie vereist.

Blijft verbazend hoe slecht de foutmeldingen van MS zijn, over de hele linie. Je kan er nagenoeg nooit iets serieus mee qua troubleshooting.

Dat gezegd hebbende, ik heb geen oplossing voor je. Want ik heb er geen ervaring mee. Ik ben nu al blij dat ik weer 2 devices heb kunnen fixen qua AutoPatch / WUfB. Dat is van hetzelfde niveau qua melding.

Als je denkt dat de foutmeldingen van MS slecht zijn heb je duidelijk nog geen Apple hardware beheert . Maar het zou inderdaad een stuk beter mogen. Al moet ik zeggen dat als je de echte foutmelding ziet je vaak ook niet veel wijzer wordt. Dan zie je de deep dives van iemand als een Rudy Ooms en dan denk je: waar zijn we in hemelsnaam toch mee bezig?

HKLM_ schreef op donderdag 2 april 2026 @ 12:02:
Iemand ervaring met het pushen van een background of lockscreen image op Windows 11 Pro, dit was voorheen altijd een Windows Enterprise CSP maar volgens de documentatie kan het nu ook op Pro en education.

https://learn.microsoft.c...=intune&pivots=windows-11

Alleen op mijn Pro krijg ik op de policy een Intune 65000 error... pas ik de policy toe op enterprise instant werken.

Wat is je vraag. Ik heb dit een tijd terug voro een klant geconfigureerd....zij hebben wel Enterprise overigens.

HKLM_ schreef op donderdag 2 april 2026 @ 14:40:
[...]


Of iemand het op Pro of Educatie heeft werken, dat zou volgens de documentatie nu dus moeten werken maar ik krijg het niet aan de praat.Op Enterprise inderdaad wel (zelfde policy)

Die error 65000 is een melding dat het apparaat geen idee heeft wat-ie met de policy moet doen (maar dat hoef ik jou niet te vertellen ).
Zie je wel dat de registerkey wordt aangemaakt op het device ?

En: welke versie draait je client? Kan best zijn dat de client-side support voor die CSP pas in (bijvoorbeeld) 25H2 zit.

HKLM_ schreef op donderdag 2 april 2026 @ 14:40:
[...]


Of iemand het op Pro of Educatie heeft werken, dat zou volgens de documentatie nu dus moeten werken maar ik krijg het niet aan de praat.Op Enterprise inderdaad wel (zelfde policy)

Werkt hier prima op enterprise, maar recent machine die teruggevallen was naar pro licentie uit bios en spontaan was achtergrond weg.
Dus heb het idee dat info op die pagina dat het op pro werkt wel klopt.

Er zijn genoeg manieren om ook op Pro een wallpaper in te stellen, heb ik voor een paar klanten ook op die manier gedaan. Heb zelf een script in een Win32 gegoten > fixed.

Eindelijk een Windows Update doorbraak. Heb eindelijk een methode gevonden om de laptops zover te krijgen dat ze het doen, ondertussen op meerdere PC's succesvol kunnen uitvoeren. Jammer dat het handwerk is

Drardollan schreef op vrijdag 3 april 2026 @ 15:29:
Eindelijk een Windows Update doorbraak. Heb eindelijk een methode gevonden om de laptops zover te krijgen dat ze het doen, ondertussen op meerdere PC's succesvol kunnen uitvoeren. Jammer dat het handwerk is

Wat was het probleem en wat was de oplossing?

bramassendorp schreef op vrijdag 3 april 2026 @ 19:01:
[...]

Wat was het probleem en wat was de oplossing?

Laptops die hiervoor NinjaOne hadden bleven fouten geven dat de automatic update settings niet goed stonden. De fix is in de lokale GPO de automatic update aanzetten, paar uur wachten en weer uitzetten.

Had hetzelfde gedaan via regkeys, maar dat werkte niet. Blijkbaar doet gpedit nog iets extra. Ook een intune policy met deze setting werkte niet, fout: conflicting policy.

Blokker_1999 schreef op vrijdag 3 april 2026 @ 20:55:
[...]

Kan je dan niet zien waar het conflict zit? En wie heeft er prioriteit in je omgeving? GPO of Intune?

Dat weet ik ook wel zonder te zien, de nieuwe Intune policy conflicteert met de standaard aangemaakte AutoPatch policies. En daarom wordt hij niet uitgerold.

Op een werkstation heeft de GPO voorrang. Wat wel logisch is, zowel GPO's als Intune zetten registry keys. Dat is eigenlijk alles wat er gebeurd. Maar de AutoPatch registry komt al niet aan zo te zien, waarschijnlijk omdat er een oud conflict is door instellingen die NinjaOne heeft gedaan. Via de lokale GPO overschrijft die boel wel goed lijkt het.

HKLM_ schreef op zaterdag 4 april 2026 @ 10:26:
[...]


MDMWinsOverGP pushen naar je werkstation is daar mogelijk de oplossing voor.

Na de Pasen eens naar kijken

Waarom weet niemand, maar sinds een week verdwijnen er vanzelf machines uit de Windows Update misconfigured lijst. Had eindelijk een oplossing gevonden voor de Pasen, maar sinds de Pasen hebben de overgebleven machines zichzelf hersteld. Had Pasen niet iets te doen met wederopstanding?
Zojuist ging de laatste machines van status alert af

Ook beginnen de machines meer en meer up to date te komen, AutoPatch/WUfB is duidelijk goed aan het werk. Schat dat zo'n 70% ondertussen up to date is.

Binnenkort gaat de HotPatch ook aan las ik, mooi. Hoef ik er zelf geen policies voor te gaan maken, die maand die het langer duurt om het aan te zetten zullen we wel overleven.

Even kijken of hier iemand een definitief antwoord kan geven:

Is het mogelijk om een Autopilot device die een hybrid join doet, de OOBE te starten met behulp van een Temporary Access Pass? Ik heb het vandaag enkele keren op verschillende apparaten geprobeerd en krijg telkens een 80004005 error en vermoed ergens dat dit komt omdat het hybride apparaten zijn. Aan de andere kant is het wel perfect mogelijk om een pre-provision te doen

It saves my bacon, maar is natuurlijk minder gebruiksvriendelijk. Na de pre-provision kan de laptop dan wel opstarten tot aan de Windows login prompt, daar kan de gebruiker, met behulp van TAP, de VPN werkende krijgen en dan een sign-in doen waarna deze het wachtwoord moet resetten van het account en zo verder gaan.

@HKLM_, niets is voor eeuwig

Toch even opmerken dat dat specifiek over sign-in op Windows gaat. Ik heb het over de OOBE, nog voor je de eerste ESP krijgt. Dan heb je wel een signin waar je gewoon de TAP kunt ingeven.

[ Voor 74% gewijzigd door Blokker_1999 op 13-04-2026 16:30 ]

HKLM_ schreef op maandag 13 april 2026 @ 17:11:
[...]


Hybride join is hopelijk niet voor eeuwig

Plan is om er bij ons met Win12 mee te stoppen. Kunnen we ook weer een stap dichter bij passwordless komen.

Blokker_1999 schreef op maandag 13 april 2026 @ 19:52:
[...]

Plan is om er bij ons met Win12 mee te stoppen. Kunnen we ook weer een stap dichter bij passwordless komen.

Ik denk dat dat de grap is, maar W12 gaat toch nooit komen?

@Quad, dan wachten we toch gewoon tot lucky 13?

Vandaag aan de slag met custom rollen in Intune en Entra om de beveiliging te verbeteren. En dan leer je dat er een stomme bug zit in Intune. Ik heb mijn gebruiker voldoende rechten gegeven om het local admin password van devices op te vragen, ik kan dat wachtwoord ook netjes opvragen in het Entra portaal, maar in Intune blijft dit uitgegrijsd in de navigatie.

Ga ik dan gewoon naar de URL https://intune.microsoft....rd/mdmDeviceId/<deviceid>, dan krijg ik netjes de pagina te zien met datzelfde account en kan ik gewoon het wachtwoord opvragen.

Dankjewel Microsoft ...

Tja, to portal or not to portal. Ik kan in de Azure/EntraID portal prima de laatste signin datum zien van een gebruiker als ik die gebruiker eerst selecteer
Ik heb tevens toegang tot de signin logs.
Maar ik kan dat niet even als kolom toevoegen bij het weergeven van rijen gebruikers en evenmin kan ik het exporteren via Get-AzureADUser (deprecated, I know)
Ik moet dat dan via Graph doen en specifieke permissies toevoegen voor toegang tot die info. Zo zitten er overal wel inconsistenties in de diverse portals en verandert het om de haverklap.
"Change is the only constant" of zoiets

Quad schreef op dinsdag 14 april 2026 @ 08:39:
[...]

Ik denk dat dat de grap is, maar W12 gaat toch nooit komen?

Dat zei men ook over Windows 11.

---

Vandaag flink zitten ergeren aan Intune. Heb een nieuwe versie gepackaged en het installatie script dat er bij zit heb ik apart als script toegepast in Intune. Het is eigenlijk al idioot dat de dropdown niet beschikbaar is om te wisselen van command line naar script totdat er een teken (spatie werkt niet) in het invoerveld staat. Maar ik liep tegen dit issue aan: https://patchmypc.com/blo...4-bit-switch-not-working/. Kreeg telkens de melding 'kan niet installeren' of 'installatie mislukt' omdat de detectie het resultaat niet vond.

In het artikel staat prachtig vermeld dat het opgelost moet zijn sinds versie 1.101.103.0. Op m'n test systeem staat 1.101.109.0, dus je zou dan verwachten dat het probleem hier niet moet gebeuren. Toch is het stuk en werd het doodleuk in de verkeerde map gezet omdat 't script naar de programfiles variabele wijst. Heb de 'fix' die onderaan staat dat Powershell met sysnative aanroept maar toegepast. Maar kreeg voordat ik dat had gedaan andere issues omdat 't z'n rommel niet opruimt. Van 'map is niet leeg' tot 'error extracting zip' in Intune als resultaat.
In de lokale logs zag ik geen verwijzing naar 't installatie script dat ik heb toegevoegd, alleen het ene teken dat ik als commando had ingevuld om de script optie te krijgen. Daardoor word je ook lekker op het verkeerde been gezet.

Hebben anderen hier ook last van? En het feit dat de optie 'install script' niet te kiezen is totdat je wat invult bij het commando?

Nog een andere vraag. Ik heb aparte rechten toegekend aan de servicedesk en m'n non-admin gebruiker zodat we systemen kunnen aanmelden voor auto-pilot, systeemnaam en tag kunnen toewijzen en de primaire gebruiker toewijzen. Nou kreeg m'n collega laatst een foutmelding voor z'n neus bij het aanmelden van een systeem bij auto-pilot. Dat 'ie te veel systemen aangemeld zou hebben. Maar gek genoeg ging de import wel door en was succesvol. Met on-prem heb je een limit van 10 systemen dat je bij AD kan aanmelden tenzij je specifieke delegatie had gekregen. Is dat ook van toepassing bij Intune/AP en hoe pas ik dit aan?

Hero of Time schreef op dinsdag 14 april 2026 @ 19:02:
[...]


Nog een andere vraag. Ik heb aparte rechten toegekend aan de servicedesk en m'n non-admin gebruiker zodat we systemen kunnen aanmelden voor auto-pilot, systeemnaam en tag kunnen toewijzen en de primaire gebruiker toewijzen. Nou kreeg m'n collega laatst een foutmelding voor z'n neus bij het aanmelden van een systeem bij auto-pilot. Dat 'ie te veel systemen aangemeld zou hebben. Maar gek genoeg ging de import wel door en was succesvol. Met on-prem heb je een limit van 10 systemen dat je bij AD kan aanmelden tenzij je specifieke delegatie had gekregen. Is dat ook van toepassing bij Intune/AP en hoe pas ik dit aan?

Onder device enrollment en dan enrollment device limit restrictions kan je dat veranderen

DennusF schreef op woensdag 15 april 2026 @ 08:01:
[...]


Onder device enrollment en dan enrollment device limit restrictions kan je dat veranderen

Dat gaat over het enrollen van devices, als ik de vraag van @Hero of Time goed begrijp heeft hij het over het toevoegen van devices aan autopilot (dus het importeren van de 4K Hash, zeg maar)?

Daar staat geen limiet op. De limiet in Intune gaat letterlijk over hoeveel apparaten jij kan registreren in Intune op je naam, en dan staat die naam bij "enrolled by" als je naar het apparaat gaat. Al heb ik op mijn test account ook weer meer devices enrolled dan de limiet die Intune aangeeft. Dus geen idee hoe dat alles moet samenwerken.

Maar ook het feit dat bij Hero de import gewoon goed verlopen is toont aan dat het importeren van hashes, waarbij je soms wel een file met meer dan honderd hashes upload als je deze van je OEM krijgt, zou er nooit een limiet mogen zijn. Ofwel werkt het, ofwel werkt het niet. Het importeren van die hash zet ook geen associatie met een gebruiker, tenzij je dat bij de import expliciet opgeeft en gebruikers en apparaten reeds op AutoPilot niveau met elkaar verbind.

Kan natuurlijk ook gewoon een zoveelste bug van Microsoft zijn geweest.

Het gaat idd om wat @ralpje zegt, het importeren van de hash. Er moest toevallig nog een apparaat aangemeld worden voor self-deployment en de melding die naar voren komt heeft het over device enrollment cap. De resultaten die ik heb bekeken hebben het allemaal over het Intune device enrollment limiet. Die staat volgens mij standaard op 20. Maar dat heeft dus effectief niks met de actie zelf te maken voor AP. Echter als je de melding lang genoeg laat staan, gebeurt er alsnog niks.

De zoveelste bug dus, wat nogal verwarrend is, maar als je 't weet kan je 't negeren. Heb wel de rechten van de custom role die ik heb gemaakt iets moeten aanpassen, want opeens was het niet meer mogelijk om bij de AP devices de naam en tag op te geven of wijzigen. Nadat ik Organisation Read had toegevoegd, werkt het weer. Was het feit dat we dit eerst wel konden een bug of dat het opeens niet meer kon juist een?

@Blokker_1999, dat importeren van een CSV van je OEM met een berg hashes kan natuurlijk ook een actie zijn dat een admin uitvoert en net als met on-prem domain admins, geen limiet heeft. Uiteraard kan een servicedesk dat de boel inkoop ook zoiets doen zonder admin te zijn. Gaat mij even om dat het geen garantie is dat er geen limiet zou zijn omdat importeren via CSV wel kan met grote getallen.

Zo te zien heeft Microsoft in Intune AC iets gewijzigd en W365 Cloud PCs een eigen categorie gegeven onder Devices.

Intune issues? Krijg geen devices meer te zien 'something went wrong'

pjlgt schreef op maandag 20 april 2026 @ 13:57:
Intune issues? Krijg geen devices meer te zien 'something went wrong'

Hier niks aan de hand, zowel acceptatie als productie tenant getest.

pjlgt schreef op maandag 20 april 2026 @ 13:57:
Intune issues? Krijg geen devices meer te zien 'something went wrong'

Zeker wat aan de hand. hier ook.
https://www.reddit.com/r/...une_loading_devices_down/

Welke tenant locatie zitten jullie? Hier Europe 0102

het lijkt weer te werken

[ Voor 200% gewijzigd door evilhomer87 op 20-04-2026 16:18 ]

Enige wat ik merk is dat er op een groep geen licenties meer toegewezen worden.

evilhomer87 schreef op maandag 20 april 2026 @ 16:12:
het lijkt weer te werken

Zag net ook weer wat verschijnen. Morgen maar weer kijken of het uitrollen weer fatsoenlijk lukt.

Heeft er hier iemand ervaring met het goed documenteren van een Intune omgeving?

Heel onze omgeving is tot op heden ingericht om 1 type apparaat te ondersteunen, zijnde de laptop van een eindgebruiker, maar we gaan na de zomer ook AVD beginnen gebruiken en ik weet nu al dat niet alle policies en apps van toepassing zullen zijn op die AVDs. Het gaat dus zaak worden om eenvoudig alles te kunnen controleren en na te gaan wat er allemaal juist geconfigureerd is, waar dit geconfigureerd is en aan welke groepen dit wordt toegewezen.

Ik ben al intunedocumentation.com tegengekomen, maar weet niet of er andere danwel betere tools zijn die men gebruikt.

Blokker_1999 schreef op zaterdag 25 april 2026 @ 11:05:
Heeft er hier iemand ervaring met het goed documenteren van een Intune omgeving?

Heel onze omgeving is tot op heden ingericht om 1 type apparaat te ondersteunen, zijnde de laptop van een eindgebruiker, maar we gaan na de zomer ook AVD beginnen gebruiken en ik weet nu al dat niet alle policies en apps van toepassing zullen zijn op die AVDs. Het gaat dus zaak worden om eenvoudig alles te kunnen controleren en na te gaan wat er allemaal juist geconfigureerd is, waar dit geconfigureerd is en aan welke groepen dit wordt toegewezen.

Ik ben al intunedocumentation.com tegengekomen, maar weet niet of er andere danwel betere tools zijn die men gebruikt.

Wij gebruiken https://github.com/Micke-K/IntuneManagement, deze tool heeft ook een documentation feature.

Maar dit is puur omdat we een azure devops pipeline hebben die elke nacht een controle doet en bij aanpassingen in policies een export maakt zo dat we bij vreemde zaken een diff compare kunnen doen.

Die intunedocumentation tool heeft wel een eigen app registration nodig, dat krijg ik er hier nooit doorheen

[ Voor 4% gewijzigd door Gerwinnn op 25-04-2026 11:39 ]

Nooit bij stilgestaan om eerlijk te zijn. Maar alles is dan ook Enterprise bij ons, al zie ik soms nog laptops die ineens terug met een dynamische achtergrond staan.

Recent wel geleerd dat in 25H2 de manier waarop MS de achtergrond afbeelding gaat cachen veranderd heeft. Vroeger werd deze telkens bij het aanmelden opnieuw ingelezen vanuit het bestand naar de cacha, maar dat doet het systeem nu niet meer. Maakt mijn leven weer minder praktisch als onze marketing afdeling vraagt om op een bepaald moment op alle laptops even een event specifieke achtergrond te zetten.

"Maakt mijn leven weer minder praktisch als onze marketing afdeling vraagt om op een bepaald moment op alle laptops even een event specifieke achtergrond te zetten."

Wij kennen die vraag ook maar hebben wel met Marketing afgesproken om in plaats van Desktop achtergrond, de lockscreen achtergrond te wijzigen bij events.
Voornaamste reden is dat je met desktop achtergronden altijd gerommel hebt om de afbeelding in juiste formaat te krijgen, want je hebt zelden controle over alle verschillende typen schermen waar gebruikers gebruik van maken. Ook zit je met spreiden/uitrekken/etc instellingen te kloten.

Daarom mogen gebruikers bij ons de achtergrond op hun device zelf instellen. Standaard staat dit op Spotlight, maar als mensen een effen achtergrond willen of foto van hun kat/hond/gezin/auto dan is dat prima. Zo lang het niet aanstootgevend is, maar dat lost zich vanzelf wel op. Hoewel we soms hilarische achtergronden zien die worden ingesteld door collega's als iemand vergeet om zijn device te locken.

Bij lockscreen is dat minder kritisch (of tenminste kijkt men er anders tegen aan)
Microsoft geeft wel adviezen hoe tekst/payload beter zichtbaar te houden:
https://learn.microsoft.c...=intune&pivots=windows-11

Maar idd, werkt enkel op Enterprise/Edu
Bij de eerstvolgende policy refresh (indien gewijzigd) wordt een image opnieuw gelezen van source URL, dus bijwerken van de lockscreen image vindt plaats in enkele uren
Zorg gewoon ervoor dat de URL/Policy wijzigt en je image wordt refreshed.
Marketing levert mij een image URL aan waarop de nieuwe 1920x1080 afbeelding staat. Ik wijzig deze URL in een Intune config profile
Na einde campagne zet ik de originele standaard image URL weer terug in het profile en voila..

HKLM_ schreef op woensdag 6 mei 2026 @ 20:11:
Iedereen het nieuwe device view scherm al bewonderd? Vindt het zelf wel echt een mooie overzichtelijke weergave.

Zeker, erg prettig.

Yep, echt stukken beter. Nu het menu nog aan de linkerkant!