Microsoft Intune ervaringentopic

HKLM_ schreef op maandag 27 oktober 2025 @ 21:44:
[...]


Je bedoelt deze met het mmp-c platform

https://call4cloud.nl/mdm-to-mmp-c-resource-access-policies/

Klopt ja! Gaat nog wel een lange tijd duren, maar zoiets als met EPM is veelbelovend.

TheVMaster schreef op maandag 27 oktober 2025 @ 14:10:
Zijn er issues bekend in het aanpassen van policy assignments? Ik probeer een extra group te assignen, Intune zegt dat hij is opgeslagen, maar dat is hij dus niet. Zie bijgaande video.

[YouTube: Unable to assign policies]

Er zijn vele bugs gemeld na de nieuwe release van intune. Ik kon vanochtend mijn w10/11 baseline niet meer vinden en dacht dat ik die per ongeluk verwijderd had ofzo.maar vanmiddag was deze weer zichtbaarm. Godzijdank. Ook zie ik veel devices in de gui maar voor de helft.

ReZpie schreef op dinsdag 28 oktober 2025 @ 18:42:
[...]

Er zijn vele bugs gemeld na de nieuwe release van intune. Ik kon vanochtend mijn w10/11 baseline niet meer vinden en dacht dat ik die per ongeluk verwijderd had ofzo.maar vanmiddag was deze weer zichtbaarm. Godzijdank. Ook zie ik veel devices in de gui maar voor de helft.

Het issue waar ik tegenaan liep is ook opgelost.

Vraag mij af wanneer je de lijst met auto-pilot apparaten eens kan sorteren. De enige weergave die er is, sorteert op serienummer (en dan op meest linker teken eerst, ongeacht of het serienummer 8 of 18 tekens lang is). Ik maak gebruik van tags en daarmee geef ik de hostnaam weer (want stel je voor dat er een kolom 'device name' zou bestaan...). Met nieuwe apparaten in de lijst zou ik op die manier makkelijker door kunnen nummeren. Want filteren op tag geeft ook zo'n fijne random volgorde door de serienummers.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 20:00:
Vraag mij af wanneer je de lijst met auto-pilot apparaten eens kan sorteren. De enige weergave die er is, sorteert op serienummer (en dan op meest linker teken eerst, ongeacht of het serienummer 8 of 18 tekens lang is). Ik maak gebruik van tags en daarmee geef ik de hostnaam weer (want stel je voor dat er een kolom 'device name' zou bestaan...). Met nieuwe apparaten in de lijst zou ik op die manier makkelijker door kunnen nummeren. Want filteren op tag geeft ook zo'n fijne random volgorde door de serienummers.

Maar de lijst met AP Devices kunnen ook devices bevatten die nog niet enrolled zijn en dus geen device naam hebben. Wat is het scenario precies? Of delen jullie nog handmatig devicenamen uit?

Dat is natuurlijk te doen als je een relatief kleine omgeving hebt, maar als je 10000+ devices hebt en er elke week 100+ toevoegd, dan is het handmatig wijzigen van device namen toch best een klus.

Je zou dit volgens mij ook met scripts kunnen doen of de devices gewoon automatisch laten voorzien van een naam d.m.v. een prefix en bv serienummer. Mijn huidige klant (30.000+ devices) wilde ook handmatig de devicenamen bepalen met een heel scale aan prefixes. Na wat overleg en discussie zijn ze daar vanaf gestapt en gebruiken we nu 1 enkele prefix met het serienummer.

Hun servicedesk kan gewoon op basis van de username zien welke devices een persoon heeft en op die manier troubleshooten.

Je zou dit trouwens kunnen aangeven he bij MS, dat je dit soort features graag zou willen zien en wie weet gaan ze het wel inbouwen.

[ Voor 4% gewijzigd door TheVMaster op 28-10-2025 20:22 ]

We hebben niet zo'n grote omgeving, dus idd, handmatig naam opgeven. Ik doe vervolgens via een script het systeem corrigeren qua naam, want we doen hybrid join, niet puur Entra. Ik heb tevens 802.1x voor het wifi met device certificaten en dankzij de updates van vorige maand is strong mapping hard afgedwongen. Wanneer een systeem direct vanuit doos met AP wordt uitgerold, krijgt het een naam, maakt Intune het apparaat aan in AD en wordt deze door de hybrid join hernoemd. Hier komt gelijk een probleem bij: het oorspronkelijk aangemaakte computer object mist alles voor de strong mapping in het certificaat en AD object, dus die combinatie is onbruikbaar. De nieuwe naam zou mogelijk wel werken, met voor die naam een nieuw certificaat, maar door de hybrid join heb ik 0 invloed over de exacte naam. Zelfs serienummer gebruiken heeft geen zin, er komt een random string achter.

Dus omdat de eerste naam een disfunctionerende combinatie levert voor wifi en de willekeur aan device naam met hybrid join het voor ons niet mogelijk maakt om een label onderop de laptop te plakken met de hostnaam, heb ik dus een script om wel te krijgen wat we willen mét werkende strong mapping bij het certificaat. Hiervoor haal ik uit het register de AP toegewezen hostnaam en plak er m'n prefix aan. We moeten hiervoor dus ook de naam in Intune bij AP invullen. Je wilt niet dat je een nieuw apparaat per ongeluk een conflicterende naam geeft, dus in het overzicht wil je dan snel kunnen zien welk de eerstvolgende is. Het wordt nogal onoverzichtelijk als je 001, 003. 020, 005, 034,012, etc hebt.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 20:30:
We hebben niet zo'n grote omgeving, dus idd, handmatig naam opgeven. Ik doe vervolgens via een script het systeem corrigeren qua naam, want we doen hybrid join, niet puur Entra. Ik heb tevens 802.1x voor het wifi met device certificaten en dankzij de updates van vorige maand is strong mapping hard afgedwongen. Wanneer een systeem direct vanuit doos met AP wordt uitgerold, krijgt het een naam, maakt Intune het apparaat aan in AD en wordt deze door de hybrid join hernoemd. Hier komt gelijk een probleem bij: het oorspronkelijk aangemaakte computer object mist alles voor de strong mapping in het certificaat en AD object, dus die combinatie is onbruikbaar. De nieuwe naam zou mogelijk wel werken, met voor die naam een nieuw certificaat, maar door de hybrid join heb ik 0 invloed over de exacte naam. Zelfs serienummer gebruiken heeft geen zin, er komt een random string achter.

Dus omdat de eerste naam een disfunctionerende combinatie levert voor wifi en de willekeur aan device naam met hybrid join het voor ons niet mogelijk maakt om een label onderop de laptop te plakken met de hostnaam, heb ik dus een script om wel te krijgen wat we willen mét werkende strong mapping bij het certificaat. Hiervoor haal ik uit het register de AP toegewezen hostnaam en plak er m'n prefix aan. We moeten hiervoor dus ook de naam in Intune bij AP invullen. Je wilt niet dat je een nieuw apparaat per ongeluk een conflicterende naam geeft, dus in het overzicht wil je dan snel kunnen zien welk de eerstvolgende is. Het wordt nogal onoverzichtelijk als je 001, 003. 020, 005, 034,012, etc hebt.

Al wel aan het testen met puur Entra ID join dan..?

Ja, als je idd de hostname als CMDB identifier gebruikt dan haal je jezelf ook wel extra werk op je hals. Wat is er mis met de automatisch toegewezen naam via de Hybrid join dan, eventueel met een nette prefix?

Die naam kun je natuurlijk perfect op een CMDB sticker fixen. Ik krijg zo’n jeuk van opvolgende nummers he, ik weet het veel bedrijven doen het. Maar kom op zeg, dat was de manier om je devices een naam te geven in het Windows XP tijdperk….in een moderne werkplekomgeving zou je volgens mij hier toch het liefst vanaf willen stappen. Ik weet dat jij dat niet kunt doorvoeren, maar pff…wat een gedoe man. Je hebt toch wel wat leukers te doen dan elke keer dit soort handelingen te moeten uitvoeren om een machine te deployen?

Uberhaupt stickers op het device met een asset id…..
Serienummer is prima als identifier. En als ik van een gebruiker wil weten op welk device ze werken, laat ik ze wel de naam vanuit de Company Portal oplepelen

ralpje schreef op dinsdag 28 oktober 2025 @ 21:26:
Uberhaupt stickers op het device met een asset id…..
Serienummer is prima als identifier. En als ik van een gebruiker wil weten op welk device ze werken, laat ik ze wel de naam vanuit de Company Portal oplepelen

mwah, ik kan dat eerste nog wel begrijpen. Maar om het asset id dan ook nog als hostname te gebruiken voelt voor mij een beetje als werkverschaffing. Maar ik ben het verder wel met je eens hoor, S/N als identifier is meer dan voldoende.
Wij hebben zelf wel een asset sticker, maar mijn klanten gebruiken eigenljk allemaal het s/n (met een prefix) als hostname en dus ook als identifier.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 20:55:
[...]

Al wel aan het testen met puur Entra ID join dan..?

Ivm wifi + device certificaten kan dat niet. Zou ik de strong mapping en NPS zut icm met onze APs via Entra kunnen laten lopen hoor ik dat graag. Dan kan ik dat meenemen in m'n nieuwe Server 2025 AD volgend jaar, want ik wil van onze .local tld af.

M'n manager klaagt wel eens dat het met certificaten zo veel gedoe geeft, omdat er altijd wel weer iets mee is (heb een paar machines die om een of andere reden geen strong mapping hebben, terwijl systemen die ervoor en er na zijn gedaan dat wel hebben). Maar als ik de gebruikers hoor, zijn ze er heel blij mee. En ik ook, want op het inlogscherm is er direct verbinding, wat wel zo fijn is als ze naast je staan en je moet met je eigen naam inloggen en niet eerder hebt gedaan op het systeem. Want het werkt echt super en als wifi op het inlogscherm niet werkt.... Zit je weer een usb-c dongle en netwerkkabel te zoeken.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 22:16:
[...]

Ivm wifi + device certificaten kan dat niet. Zou ik de strong mapping en NPS zut icm met onze APs via Entra kunnen laten lopen hoor ik dat graag. Dan kan ik dat meenemen in m'n nieuwe Server 2025 AD volgend jaar, want ik wil van onze .local tld af.

M'n manager klaagt wel eens dat het met certificaten zo veel gedoe geeft, omdat er altijd wel weer iets mee is (heb een paar machines die om een of andere reden geen strong mapping hebben, terwijl systemen die ervoor en er na zijn gedaan dat wel hebben). Maar als ik de gebruikers hoor, zijn ze er heel blij mee. En ik ook, want op het inlogscherm is er direct verbinding, wat wel zo fijn is als ze naast je staan en je moet met je eigen naam inloggen en niet eerder hebt gedaan op het systeem. Want het werkt echt super en als wifi op het inlogscherm niet werkt.... Zit je weer een usb-c dongle en netwerkkabel te zoeken.

Ohw, hmm….wifi met device certificaten altijd leuk. Vraag me dan toch af hoe wij dat doen, want wij hebben ook Corp wifi en vast ook certificaten, maar die hangen niet vast aan de hostnamen. Want het eerste wat ik namelijk doe als ik mijn machine opnieuw enroll is zelf de naam aanpassen naar iets wat beter past in m’n eigen netwerk (gelukkig kan ik dat).

Het is natuurlijk altijd fijn dat je wifi altijd werkt. Moet je wel eens inloggen op de machine van een gebruiker dan? Geen LAPS of EPM actief?

Misschien dat je ipv je .local tld uifaseren beter kunt migreren naar native Entra ID machines

[ Voor 3% gewijzigd door TheVMaster op 28-10-2025 22:22 ]

Wij gebruiken nog altijd standaard assettags. Is ook een beetje commercie ivm ons logo wat erop staat.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 22:21:
[...]

Ohw, hmm….wifi met device certificaten altijd leuk. Vraag me dan toch af hoe wij dat doen, want wij hebben ook Corp wifi en vast ook certificaten, maar die hangen niet vast aan de hostnamen. Want het eerste wat ik namelijk doe als ik mijn machine opnieuw enroll is zelf de naam aanpassen naar iets wat beter past in m’n eigen netwerk (gelukkig kan ik dat).

Dat is dus waarom mijn script voor het hernoemen van 't systeem niet de oorspronkelijk ingestelde Auto-Pilot naam weer geeft, want de certificate connector gaat doodleuk het foute certificaat geven want 'he, zelfde naam, hier heb je 'm terug'.
Wijzigt de naam van het systeem, dan wordt er ook een nieuw certificaat aangevraagd en geïnstalleerd zodat het weer overeenkomt. Dat werkt bij jullie wellicht ook.

Het is natuurlijk altijd fijn dat je wifi altijd werkt. Moet je wel eens inloggen op de machine van een gebruiker dan? Geen LAPS of EPM actief?

Succes om met een lokale gebruiker op netwerkbronnen te komen. Je bent ingelogd, en nu? Moet ik alsnog het netwerk op om pakket X te installeren dat niet in de portal staat maar op een netwerkschijf of nog van internet worden opgehaald. Downloaden? Als je kan downloaden, kan je ook met eigen naam inloggen.

Misschien dat je ipv je .local tld uifaseren beter kunt migreren naar native Entra ID machines

Te veel on-prem servers zoals ons ERP dat er nog een lokaal AD nodig is. Dus puur Entra gaat niet. Maar clients zouden misschien wel Entra only kunnen worden. Dat ligt er ook even aan hoe het ERP er mee overweg gaat, want die kijkt nu naar de lokale gebruikersnaam, Samaccountname, en als die overeenkomt met de gebruikersnaam in het pakket dan logt 'ie gelijk in (zonder wachtwoord, heeft geeneens koppeling met AD). Anders krijg je een login scherm.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 22:46:
[...]

Dat is dus waarom mijn script voor het hernoemen van 't systeem niet de oorspronkelijk ingestelde Auto-Pilot naam weer geeft, want de certificate connector gaat doodleuk het foute certificaat geven want 'he, zelfde naam, hier heb je 'm terug'.
Wijzigt de naam van het systeem, dan wordt er ook een nieuw certificaat aangevraagd en geïnstalleerd zodat het weer overeenkomt. Dat werkt bij jullie wellicht ook.

Dat verwacht ik ook wel overigens.

[...]

Succes om met een lokale gebruiker op netwerkbronnen te komen. Je bent ingelogd, en nu? Moet ik alsnog het netwerk op om pakket X te installeren dat niet in de portal staat maar op een netwerkschijf of nog van internet worden opgehaald. Downloaden? Als je kan downloaden, kan je ook met eigen naam inloggen.

Eh….onder welke steen heb jij gelegen? Je kunt al jaren zonder problemen met een Entra ID joined machine lokale share benaderen en ook printen. Sorry, maar dat is echt geen issue meer en dat is al ongeveer 3-4 jaar mogeljk als ik het me goed herinner zelfs.

[...]

Te veel on-prem servers zoals ons ERP dat er nog een lokaal AD nodig is. Dus puur Entra gaat niet. Maar clients zouden misschien wel Entra only kunnen worden. Dat ligt er ook even aan hoe het ERP er mee overweg gaat, want die kijkt nu naar de lokale gebruikersnaam, Samaccountname, en als die overeenkomt met de gebruikersnaam in het pakket dan logt 'ie gelijk in (zonder wachtwoord, heeft geeneens koppeling met AD). Anders krijg je een login scherm.

Er is niets mis met het hebben van een lokaal AD natuurlijk, maar dat dan ook je clients niet native Entra ID joined kunnen zijn is een misvatting. Er zijn technisch gezien maar weinig redenen (die zijn er nog wel) om niet native Entra ID joined te gaan.

Ik heb voor een klant een testje opgezet voor hybride. Alleen maar gekut met Windows Hello ondanks een opgezette kerberos authenticatieflow conform de documentatie.

Daarna die machines uit het domein gehaald, in intune gezet en alle gezeik verdween als sneeuw voor de zon.

Printers en drivemappings gaan prima met een aanmeldscript, deze checkt obv je Entra groepen waar je lid van bent en voegt ze toe, of verwijderd ze. Veel effectiever dan via een configuration in Intune.

Quad schreef op dinsdag 28 oktober 2025 @ 23:17:
Ik heb voor een klant een testje opgezet voor hybride. Alleen maar gekut met Windows Hello ondanks een opgezette kerberos authenticatieflow conform de documentatie.

Daarna die machines uit het domein gehaald, in intune gezet en alle gezeik verdween als sneeuw voor de zon.

Printers en drivemappings gaan prima met een aanmeldscript, deze checkt obv je Entra groepen waar je lid van bent en voegt ze toe, of verwijderd ze. Veel effectiever dan via een configuration in Intune.

Ja, Windows Hello in een Hybrid omgeving is volgens mij ook niet iets wat MS aanraadt. Dit is ook een van de redenen dat ik niet zo heel goed begrijp waarom mensen nog zo vasthouden aan Hybrid Join, want tenzij je echt heel specifieke eisen hebt (applicaties die nog d.m.v. device authentication authentiseren) is een Entra ID joined device echt zoveel fijner.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 23:19:
[...]


Ja, Windows Hello in een Hybrid omgeving is volgens mij ook niet iets wat MS aanraadt. D

Fixed that for you
Het is dat ik al genoeg Win 365 sessies te presenteren heb binnenkort, anders had ik m'n 'Stop doing Hybrid join already!' sessie weer eens uit de mottenballen gehaald

ralpje schreef op woensdag 29 oktober 2025 @ 08:19:
[...]


Fixed that for you
Het is dat ik al genoeg Win 365 sessies te presenteren heb binnenkort, anders had ik m'n 'Stop doing Hybrid join already!' sessie weer eens uit de mottenballen gehaald

Thanks! Dat dekt de lading nog beter. Ik moet eerlijk zeggen dat ik maar weinig geen klanten zie die echt vast willen houden aan Hybrid, gelukkig maar zou ik zeggen.

ralpje schreef op woensdag 29 oktober 2025 @ 08:19:
[...]


Fixed that for you
Het is dat ik al genoeg Win 365 sessies te presenteren heb binnenkort, anders had ik m'n 'Stop doing Hybrid join already!' sessie weer eens uit de mottenballen gehaald

Als je een videopname hiervan heb ontvang ik die graag!

HKLM_ schreef op woensdag 29 oktober 2025 @ 04:39:
[...]


Ik heb WHFB vorige week nog opgeleverd bij een klant welke ook hybride is en dit werkt echt als een zonnetje. Cloudkerbros gecontroleerd op de DC’s en in intune het configuratie profiel aangemaakt wat nodig is en iedereen was er met een paar dagen doorheen.

Authenticatie op de shares, sso apps, printers etc allemaal super soepel.

Ben wel benieuwd waar je tegenaan liep?

Na de hybrid join /MDM enrollment kwam keurig de WHfB flow op gang, na instellen kreeg je bij de aanmeldpogingen fouten over dat pin /WHfB niet beschikbaar was voor organisatie.

kerberos met cloud 100% goed ingesteld. Intune beleid ingesteld dat lokale AD ook kerberos mag afhandelen. En nog altijd dat gedoe. Maar goed, ik wilde eigenlijk niet iets doen wat MS zelf al niet aanraadt, dus toen ik de MS Learn had opgestuurd was het snel akkoord om full Intune te gaan.

Waarom niet gewoon serienummer van dell/apple etc gebruiken ?

DDX schreef op woensdag 29 oktober 2025 @ 13:37:
Waarom niet gewoon serienummer van dell/apple etc gebruiken ?

Ja die snap ik ook niet. Eventueel met een prefix...maar niets mis met de s/n van de leveranciers lijkt me.

Bij ons is de assettag sinds we over zijn gegaan op Intune puur nog ter administratie, wij geven vanuit Autopilot een prefix mee + het serienummer. Ik druk stakeholders/klanten ook altijd op de borst dat je de computernaam moet loslaten en moet focussen op de eindgebruiker, bijvoorbeeld bij het opzoeken van een apparaat, eerst naar de user gaan vanuit Troubleshooting + support in het Intune Admin Center en daar het betreffende device raadplegen.

Davidas schreef op woensdag 29 oktober 2025 @ 16:01:
Bij ons is de assettag sinds we over zijn gegaan op Intune puur nog ter administratie, wij geven vanuit Autopilot een prefix mee + het serienummer. Ik druk stakeholders/klanten ook altijd op de borst dat je de computernaam moet loslaten en moet focussen op de eindgebruiker, bijvoorbeeld bij het opzoeken van een apparaat, eerst naar de user gaan vanuit Troubleshooting + support in het Intune Admin Center en daar het betreffende device raadplegen.

Zolang je mij maar niet als gebruiker moet zoeken, dan val je achterover van de hoeveel devices je gaat tegenkomen. . Leuk, zo een TOP omgeving.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 23:10:
[...]


Eh….onder welke steen heb jij gelegen? Je kunt al jaren zonder problemen met een Entra ID joined machine lokale share benaderen en ook printen. Sorry, maar dat is echt geen issue meer en dat is al ongeveer 3-4 jaar mogeljk als ik het me goed herinner zelfs.

Haal even je doppen uit je ogen. Bij MS moet je nog wel eens gekke dingen doen die op voodoo magie lijken, maar je moet met echte magie aan de slag om voor het eerst in te loggen met je entra ID op een systeem dat compleet offline is. Jij komt zelf aan met 'heb je geen LAPS?'. Ja, dat hebben we wel, maar heb je dus geen kloot aan om met een lokaal account in te loggen als je alsnog geen netwerk hebt en wat moet installeren dat op een netwerklocatie (al dan niet nog te downloaden van een site) staat.

[...]

Er is niets mis met het hebben van een lokaal AD natuurlijk, maar dat dan ook je clients niet native Entra ID joined kunnen zijn is een misvatting. Er zijn technisch gezien maar weinig redenen (die zijn er nog wel) om niet native Entra ID joined te gaan.

Waar beweer ik dat het niet kan? Geef mij eens m'n letterlijke woorden die ik heb geschreven. Want ik zeg alleen dat ik geen idee heb hoe ons ERP applicatie om gaat met de gebruikersnaam als deze in Entra formaat staat, ipv klassiek AD met Samaccountname.

Hero of Time schreef op woensdag 29 oktober 2025 @ 19:22:
[...]


Waar beweer ik dat het niet kan? Geef mij eens m'n letterlijke woorden die ik heb geschreven. Want ik zeg alleen dat ik geen idee heb hoe ons ERP applicatie om gaat met de gebruikersnaam als deze in Entra formaat staat, ipv klassiek AD met Samaccountname.

Lijkt mee mooie case voor de beheerders van jullie ERP. Zorg dat we met UPN kunnen inloggen (dus naam@bedrijf)

Quad schreef op dinsdag 28 oktober 2025 @ 23:17:
Ik heb voor een klant een testje opgezet voor hybride. Alleen maar gekut met Windows Hello ondanks een opgezette kerberos authenticatieflow conform de documentatie.

Daarna die machines uit het domein gehaald, in intune gezet en alle gezeik verdween als sneeuw voor de zon.

Printers en drivemappings gaan prima met een aanmeldscript, deze checkt obv je Entra groepen waar je lid van bent en voegt ze toe, of verwijderd ze. Veel effectiever dan via een configuration in Intune.

Ik heb het bewust uitgezet in mijn hybride omgeving. Het kan wel en het werkt wel bij juiste configuratie, maar het vereist allerlei extra configuratie hier en in mijn geval is het doel om eind dit jaar geen hybride omgeving meer te hebben (al ga ik dat niet halen als ik het zo zie, maar dat terzijde).

Dus ik heb hier de keuze gemaakt om het even uit te stellen tot de hybride omgeving weg is, dan gaat alles vast als een zonnetje lopen met alles Entra Joined

Drardollan schreef op vrijdag 31 oktober 2025 @ 15:35:
[...]

Ik heb het bewust uitgezet in mijn hybride omgeving. Het kan wel en het werkt wel bij juiste configuratie, maar het vereist allerlei extra configuratie hier en in mijn geval is het doel om eind dit jaar geen hybride omgeving meer te hebben (al ga ik dat niet halen als ik het zo zie, maar dat terzijde).

Dus ik heb hier de keuze gemaakt om het even uit te stellen tot de hybride omgeving weg is, dan gaat alles vast als een zonnetje lopen met alles Entra Joined

Nouja in mijn optiek had ik een juiste minimale configuratie conform de Microsoft documentatie. (en praktische copy/paste van bestaande werkende klant)
Maar toch functioneerde het niet.

Nouja, die devices die het betrof zijn nu full Intune MDM en het gaat als de brandweer.

nextware schreef op vrijdag 31 oktober 2025 @ 15:27:
[...]

Lijkt mee mooie case voor de beheerders van jullie ERP. Zorg dat we met UPN kunnen inloggen (dus naam@bedrijf)

Daar heeft het niet direct mee te maken. Het ERP heeft geen enkele relatie met AD. Het kijkt alleen naar je gebruikersnaam, als die overeenkomt met die in het systeem, start het gewoon door. Dus puur het feit dat je op Windows 'nextware' heet en in het ERP een gebruiker bestaat met de naam 'nextware' is voldoende.

Maar ik weet dus niet hoe de gebruikersnaam met Entra only precies is opgebouwd, of dat ook de korte weergave bevat of alleen de volledige UPN/emailadres.

Hero of Time schreef op vrijdag 31 oktober 2025 @ 20:10:
[...]

Daar heeft het niet direct mee te maken. Het ERP heeft geen enkele relatie met AD. Het kijkt alleen naar je gebruikersnaam, als die overeenkomt met die in het systeem, start het gewoon door. Dus puur het feit dat je op Windows 'nextware' heet en in het ERP een gebruiker bestaat met de naam 'nextware' is voldoende.

Maar ik weet dus niet hoe de gebruikersnaam met Entra only precies is opgebouwd, of dat ook de korte weergave bevat of alleen de volledige UPN/emailadres.

Vraag me dan wel af of jullie ERP niet gewoon een heel antiek systeem is. Moderne systemen zouden toch wel overweg moeten kunnen met een moderne manier van authenticatie lijkt me? Is dat overigens de enige reden dat jullie nog op hybrid zitten dan?
Ik zou daar dan toch eens mee gaan testen, misschien snapt ERP wel perongeluk hoe een Entra ID user wordt herkend en anders hernoem je die user in het ERP pakket :-) Alles om van die hybrid ellende af te komen lijkt me?

Komt volgend jaar wel met een nieuw Server 2025 domein zonder .local tld.

Hero of Time schreef op vrijdag 31 oktober 2025 @ 22:12:
Komt volgend jaar wel met een nieuw Server 2025 domein zonder .local tld.

Maar ga je een nieuwe greenfield omgeving optuigen dan? En dan gelijk ook alle werkplekken naar Intune native omzetten, aangezien je dan toch alles opnieuw moet doen?

Compleet nieuw AD idd, wel de gebruikers migreren en de enkele server dat niet opnieuw opgetuigd kan worden. Nieuwe Intune niet, maar ga wel kijken hoe ik clients kan 'ombouwen'. Ga het tegen die tijd wel allemaal zien.

Hero of Time schreef op zaterdag 1 november 2025 @ 13:39:
Compleet nieuw AD idd, wel de gebruikers migreren en de enkele server dat niet opnieuw opgetuigd kan worden. Nieuwe Intune niet, maar ga wel kijken hoe ik clients kan 'ombouwen'. Ga het tegen die tijd wel allemaal zien.

Niet, je zult clients opnieuw moeten enrollen (althans dat is het allermakkelijkste volgens mij) en dan gelijk native Entra ID gaan (en zorgen dat je in die nieuwe omgeving de boel goed inricht zodat dat ook gewoon goed gaat werken incl Windows Hello en certificaten, eventueel met CloudPKI).

Hoe het ook gaat, wifi moet gewoon blijven werken en geen gezeik opleveren wat nu soms nog gebeurt om wat voor vage MS reden er weer aan de hand is.

Hero of Time schreef op zaterdag 1 november 2025 @ 19:10:
Hoe het ook gaat, wifi moet gewoon blijven werken en geen gezeik opleveren wat nu soms nog gebeurt om wat voor vage MS reden er weer aan de hand is.

Je kunt niet alles op MS afschuiven natuurlijk. Als je wifi goed inregeld, dan zou het gewoon moeten blijven werken.

Nog meer mensen die momenteel problemen ondervinden met Intune/Company Portal? Ik heb een verse geinstalleer device welke compliant is, maar bij elke handeling die ik doe in de Company Portal krijg ik "an error occured attempting to load the apps" etc. Obivious netwerkdingen al gechecked uiteraard.

configurations pushed ie wel, maar all m'n required apps failen (Error code: 0x87D30065)

[ Voor 13% gewijzigd door Tusk op 03-11-2025 15:24 ]

Tusk schreef op maandag 3 november 2025 @ 15:08:
Nog meer mensen die momenteel problemen ondervinden met Intune/Company Portal? Ik heb een verse geinstalleer device welke compliant is, maar bij elke handeling die ik doe in de Company Portal krijg ik "an error occured attempting to load the apps" etc. Obivious netwerkdingen al gechecked uiteraard.

configurations pushed ie wel, maar all m'n required apps failen (Error code: 0x87D30065)

Duurt lang, lijkt erop als het heeeel druk is bij MS. keep on trying... wij dachten eerst dat het aan ons lag.

Dit lijkt nu iets te doen:

TheVMaster schreef op maandag 3 november 2025 @ 09:54:
[...]

Je kunt niet alles op MS afschuiven natuurlijk. Als je wifi goed inregeld, dan zou het gewoon moeten blijven werken.

Hoezo niet? Ik gebruik MS Intune icm MS ADCS icm MS NPS. Als er iets niet werkt, kan ik een beetje lastig Dell de schuld gaan geven. Jij gaat toch ook niet bij Volkswagen staan klagen als je Toyota Prius een mankement heeft?

Blijft natuurlijk stom dat de onprem NPS server niet meer ingezet kan worden voor device certificaten uit te geven die je kan gebruiken om onprem wifi te gebruiken.
Ik heb het bij ons maar opgelost door user certificaten te gebruiken, maar het blijft een net niet oplossing want eigenlijk zou je gewoon wifi willen bij inlogscherm.
Maar de Microsoft oplossing daarvoor (Cloud PKI) zit weer in Microsoft Intune Suite wat best prijzig is....

[ Voor 3% gewijzigd door DDX op 03-11-2025 20:19 ]

Als we het dan toch hebben over authenticatie, iemand TEAP al aan de praat gekregen, native, vanuit intune?

Krijg steeds een irritante sign in optie bij de netwerk adapter waar je steeds manueel moet "inloggen". EAP werkt daarentegen wel out of the box.

HKLM_ schreef op maandag 3 november 2025 @ 20:35:
[...]


Je kan CloudPKI ook als losse add-on kopen zonder de hele suite te hoeven afnemen.

Ah die had ik gemist, goedkopere addon maar toch...
Blijft ook gek dat zoiets niet gewoon bij Business Premium of Microsoft 365 E3 oid zit.
Of dat ze NPS niet gewoon even fixen dat je weer device certs kan gebruiken. (wat heel lang kon maar door security update gekilled is)

[ Voor 16% gewijzigd door DDX op 03-11-2025 20:49 ]

DDX schreef op maandag 3 november 2025 @ 20:49:
Of dat ze NPS niet gewoon even fixen dat je weer device certs kan gebruiken. (wat heel lang kon maar door security update gekilled is)

Wacht, met Intune CloudPKI kan je alsnog geen device certs gebruiken? Dat is kut. Overigens is het niet dat NPS stuk is, maar de authenticatie in AD met het computer object is een extra vereiste. Je kan het op verschillende manieren matchen, de makkelijkste is wanneer het systeem zelf een cert aanvraagt zodat een veld in het certificaat gevuld wordt en een stukje van het cert in het computer object wordt opgeslagen. Andere optie is het serienummer in omgekeerde byte volgorde in altIdentity oid. Heb ik bij een paar moeten doen omdat de strong mapping blijkbaar faalde om onverklaarbare reden.

Je kan dus nog wel device certs gebruiken, zolang het apparaat in je on-prem AD staat. En je een manier hebt om die te matchen aan het certificaat. Als je een interne PKI hebt, is hybrid joined in zekere zin het makkelijkste, maar er is vast wel wat te scripten om computer certs via CloudPKI te matchen met je 'lege' on-prem objecten.

Nee dat kan dus niet meer met NPS vanaf de september 2025 update :

https://techcommunity.mic...ping-in-active-di/4451386

met CloudPKI zou het wel moeten kunnen. (maar nooit echt verder in verdiept omdat je dan weer licenties nodig hebt)

[ Voor 22% gewijzigd door DDX op 03-11-2025 22:37 ]

Hero of Time schreef op maandag 3 november 2025 @ 19:21:
[...]

Hoezo niet? Ik gebruik MS Intune icm MS ADCS icm MS NPS. Als er iets niet werkt, kan ik een beetje lastig Dell de schuld gaan geven. Jij gaat toch ook niet bij Volkswagen staan klagen als je Toyota Prius een mankement heeft?

Dat ligt er natuurlijk aan. Als ik bij het onderhoud van mijn Toyota Prius zelf ga lopen aanrommelen en de richtlijnen en adviezen van Toyota ga negeren, tja…dan ga ik inderdaad niet bij Volkwagen klagen, maar dan moet ik bij mezelf te rade gaan waarom ik niet gewoon de richtlijnen en aanbevelingen van Toyota gevolgd heb.

Is Intune weer kapot? Half uur geleden niet app aangemaakt en nog steeds status "Your app is not ready yet. If app content is uploading, wait for it to finish. If app content is not uploading, try creating the app again. "

Ff stomme vraag tussendoor: wat doen jullie met Windows Fast Startup? Negeren, uitzetten via registry, uitzetten via OMA-URI of geforceerd aanzetten via de settings catalog?

Ik heb het uitstaan (via de Settings Catalog, voorheen via een GPO). Het is al jaren problematisch voor bijvoorbeeld antivirus engine updates. En met de komst van de SSD/NVMe is het verschil ook maar klein. En anders is het jammer voor de gebruiker, dan wachten ze maar 30 seconden langer.

[ Voor 9% gewijzigd door Drardollan op 04-11-2025 09:36 ]

HKLM_ schreef op dinsdag 4 november 2025 @ 09:42:
[...]


Ik laat dat eigenlijk gewoon aanstaan waarom zou je het uitzetten?

Er is hier iemand van support een kruistocht gestart tegen fast startup en is over mijn hoofd gesprongen met grootspraak dat het een grote impact gaat hebben op het aantal problemen dat gebruikers rapporteren. Ik ben op dit moment op het feit dat hij over mijn hoofd springt en dat mgmt zijn vraag steunt zonder mij zelfs maar te consulteren ondanks dat ik de eindverantwoordelijkheid draag en ondanks dat dat ingaat tegen de vraag die nog geen 2 weken eerder is gesteld om zijn verzoek te onderbouwen waarmee mgmt ook akkoord is gegaan.

Dus ondanks dat ik er zeker van ben dat uitschakelen geen enkele verbetering zal brengen mag ik er nu wel mijn tijd in steken en was ik benieuwd hoe anderen er mee omgaan. Mijn insteek is dan ook: MS voorziet expliciet geen instelling in GPO of Intune om het geforceerd uit te zetten, en dat moet ook een reden hebben.

HKLM_ schreef op dinsdag 4 november 2025 @ 09:53:
[...]


Maar is dat echt nogsteeds een issue? Ik doe zowel kleine als wat grotere omgevingen en heb er de afgelopen 5+ jaar niemand over gehoord of het moeten managen. Dit zit er ondertussen toch 10 jaar in windows? Voor mij is het hele users lastigvallen met reboots niet echt meer een ding zeker sinds we Windows Hotpatch hebben binnen de licenties.

Het blokkeert nog steeds regelmatig AV Engine updates (in ieder geval van Sophos en Bitdefender) en ik heb geen hotpatch. Ik weet dus niet wat de impact daarop is. In de huidige situatie is het in ieder geval voor diverse updates nog steeds blokkerend omdat die een echte herstart vereisen. Dus dat speelt nog steeds, want dat is niet op te lossen volgens mij.

Heb eerlijk gezegd nog nooit noemenswaardig tijdsverschil gemerkt tussen fast startup aan of uit en de nadelen van niet verwerkte updates wegen voor mij zwaarder. Ik ken ook geen beheerder die het aan laat staan.

Drardollan schreef op dinsdag 4 november 2025 @ 09:44:
[...]

Je Windows maakt dan geen echte schone boot meer met alle mogelijke gevolgen van dien. Ik vind de voordelen niet opwegen tegen de nadelen.

Het zit reeds 10 jaar in Windows en staat al even lang standaard aan. En hoewel het geen schone boot is worden wel alle applicaties alsnog netjes afgesloten. Het is enkel de kernel en drivers die blijven draaien wat mogelijks een probleem is bij driver updates, maar ook alleen maar als die updates je systeem niet laten herstarten, want bij een herstart worden ze wel van 0 af aan ingeladen.

Ik zet het uit, vaak genoeg meegemaakt dat er een driver in kernel crasht waarbij Windows wel doorwerkt maar de netwerkadapter of touchscreen geen ene fluit meer doet. Kan je rebooten tot je een ons weegt, het helpt niet.
Dan is een harde reset de oplossing (powerbutton x seconden ingedrukt houden) waarna het weer functioneert.
Ik zie geen voordelen om het aan te laten staan in elk geval.

Blokker_1999 schreef op dinsdag 4 november 2025 @ 09:31:
Ff stomme vraag tussendoor: wat doen jullie met Windows Fast Startup? Negeren, uitzetten via registry, uitzetten via OMA-URI of geforceerd aanzetten via de settings catalog?

Heb fast startup disabled, geeft alleen maar issues. Apparaten sluiten zich nooit volledig af als je het aan laat staan.

Hier is fastboot uitgezet met het oog op Windows Updates die anders niet altijd werden afgerond. Wij gebruiken helaas geen Intune daarvoor, wel een third party tool. Het nadeel wat ik er zelf aan ondervind is dat het opstarten van m'n laptop nu zeker veel langer duurt en dat ik 's ochtends rustig even koffie kan gaan halen voordat m'n laptop echt weer functioneel is. Na het inloggen wordt er namelijk nog van alles opgestart wat ik nodig heb. Voorheen met fastboot, hoefde dat natuurlijk niet.

Zijn er hier systeembeheerders die Universal Print werkend hebben gekregen? Wij zijn op dit moment bezig met een Intune project, maar Unviersal Print is érg onstabiel in onze omgeving. Hele basic setup met dezelfde universal driver voor elke (soortgelijke) printer.

wErudite schreef op dinsdag 4 november 2025 @ 10:39:
Zijn er hier systeembeheerders die Universal Print werkend hebben gekregen? Wij zijn op dit moment bezig met een Intune project, maar Unviersal Print is érg onstabiel in onze omgeving. Hele basic setup met dezelfde universal driver voor elke (soortgelijke) printer.

Hier dezelfde ervaring gehad tijdens het testen. Uiteindelijk hebben we gekozen voor RICOH RSI en dat werkt nu al 2 jaar storingsvrij.

Hier is ook de discussie los gebarsten of we Fast Startup uit- of in moeten schakelen. Momenteel staat het ingeschakeld. Wij gebruiken ook Hotpatch (Win 11 24H2). Zelf een test gedraaid en ik kan geen enkel verschil vinden in opstart- en inlogtijden binnen Windows. Heb de Intune EndPoint Analytics nagekeken en ik kan geen enkel verschil vinden in tijden.

DDX schreef op maandag 3 november 2025 @ 22:34:
Nee dat kan dus niet meer met NPS vanaf de september 2025 update :

https://techcommunity.mic...ping-in-active-di/4451386

met CloudPKI zou het wel moeten kunnen. (maar nooit echt verder in verdiept omdat je dan weer licenties nodig hebt)

Die strong mapping is waar ik het over heb. Kwam dus eind september/begin oktober erachter dat een paar systemen via Intune geen juist certificaat hadden gekregen waar die mapping dus ontbrak. Gek genoeg systemen die daarvoor én daarna certs hadden gekregen waren wel in orde. Die paar gare heb ik met het handje gemapped via de alternatieve methode (cert serienummer in omgekeerde byte volgorde). Dat is ook een methode die je zou kunnen scripten met CloudPKI, als het niet native kan voor systeem certificaten.

HKLM_ schreef op dinsdag 4 november 2025 @ 08:55:
[...]

Met Cloud PKI kan je prima Client Authentication" (OID 1.3.6.1.5.5.7.3.2) uitgeven dat is samen met Server auth (1.3.6.1.5.5.7.3.1) een van de meeste voorkomende scenarios binnen Cloud PKI.

Ik heb in mijn SCEP profile binnen Intune als subject name format CN={{AAD_Device_ID}} opgegeven i.c.m de Client Authentication" (OID 1.3.6.1.5.5.7.3.2) voor het WiFi stuk.

Ik gebruik PKCS omdat ik geen zin had om SCEP helemaal op te tuigen met een gaatje in de firewall en alles wat er nog meer bij kwam kijken. Met CloudPKI zal dat natuurlijk niet zo'n probleem zijn, het draait niet on-prem tenslotte. Maar computer certs met direct wifi op het login scherm kán dus nog wel als ik je goed begrijp? Zonder gedoe rondom strong mapping?

HKLM_ schreef op dinsdag 4 november 2025 @ 19:20:
[...]


Mijn ervaring is goed en ik merk er eigenlijk niet mega veel van. Behalve dat ik minder om een reboot voor windows update wordt gevraagd.

Wat betreft het installeren van de updates en dat dat lang duurt, ik maak gebruik van delivery optimalization icm Microsoft Connected Cache en zie wel dat de updates vooral daar vandaan komen. Maar verder merk ik er niks van qua installatie.

Wat is de primaire bron van je clients? Is dat MCC of andere clients in het netwerk?

Drardollan schreef op dinsdag 4 november 2025 @ 09:27:
Is Intune weer kapot? Half uur geleden niet app aangemaakt en nog steeds status "Your app is not ready yet. If app content is uploading, wait for it to finish. If app content is not uploading, try creating the app again. "

Heb ik ook af en toe wel eens. Ik wacht daar dan niet op en maak de app opnieuw aan. Dan gaat het wel goed.

@HKLM_ Bij ons maakt dat reeds onderdeel uit van de compliance policy, dus wij moeten er niet eens achter gaan zoeken want we hebben dat soort apparaten niet. Zou ook maar erg zijn daar de telefoons hier eigendom zijn van de werkgever.

Zelf stuit ik ook net op een ander Intune probleem. Vlak voor mijn vakantie had ik nog een configuratie gezet voor alle iPhones in het bedrijf, en nu kom ik er achter dat ongeveer 10% van devices deze niet toepast. Als ik dan ga zoeken naar details dan zie ik bij sommige settings staan "Noncompliant". Geen error of conflict. Ook geen verdere details. Iemand die weet wat hier aan de hand kan zijn?

HKLM_ schreef op woensdag 5 november 2025 @ 09:40:
[...]


Is een Intune device license dan niet een betere optie als de user niks hoeft te doen op dat device?

Daar heb ik wel eens naar gekeken, maar hoe licenseer ik dan zo'n device? Voor gebruikers kan je dat makkelijk koppelen, maar ik heb daar geen ervaring mee met intune device only licensing.

HKLM_ schreef op woensdag 5 november 2025 @ 09:49:
[...]


Maak je voor de updates gebruik van Declarative Device Management?

Yep, dit is een DDM policy.

Antwoord van Microsoft, voor 1 keer een antwoord waardoor ik in 1 keer het ticket bij hen kan afsluiten, maar dan omdat ze me niet verder kunnen helpen:

• DDM is device-driven: Intune sends the declarative policy to Apple’s MDM framework, and then the iOS device evaluates and enforces it locally. Intune only receives a status report (e.g., Compliant or Noncompliant). If the device rejects or partially applies the policy, Intune cannot provide detailed error codes because Apple does not return granular failure reasons.
• Noncompliant without error code: This is typical for DDM because Apple does not expose detailed failure diagnostics via the MDM protocol. The “Noncompliant” state means the device did not apply the setting, but the cause (e.g., OS version, conflicting settings, timing constraints) is only visible in device-side by collecting console logs. (You need to raise case with Apple for collection and analyzing the console logs from Device side)
• Common Apple-side causes:
o Device is not on a supported iOS version for that specific setting.
o Conflicting update deferral settings from another profile.
o Device is not supervised or was restored from iCloud incorrectly.
• Local user actions (e.g., manually installing updates) override declarative policy timing.
What Intune can do:
• Confirm the policy was successfully delivered to the device.
• Show the compliance state (but not the reason for failure).
What Apple controls: (Apple support case needed)
• How the device interprets and applies the declarative payload.
• Can help in collecting and analyzing the console logs from Device end to know why DDM is failed.

Sinds enige weken hebben we problemen met intunen van laptops. Windows Autopilot blijft hangen bij stap 2 - Device Setup, hangt dan urenlang bij Apps (11 of 16 installed) om vervolgens na een paar uur een error te geven.

We gebruiken hier op de zaak Dell laptops. Meestal Inspiron 7450 en 5550 en de nieuwere Pro lijn. Als ik de eerste keer via de BIOS een OS Recovery eerst doe dan gaat het wel goed en blijft hij niet hangen. Dus out of the box intunen werkt niet. Irritant want op deze manier ben ik 3 keer zo veel tijd kwijt. Zijn er hier ook mensen die de laatste tijd problemen hiermee heeft i.c.m. Dell laptops?

Ik heb het idee dat Intune struikelt over de vooraf geinstalleerde Dell troep en dat dit wel werkt na een OS Recovery....

Vlassie1980 schreef op woensdag 5 november 2025 @ 13:05:
Sinds enige weken hebben we problemen met intunen van laptops. Windows Autopilot blijft hangen bij stap 2 - Device Setup, hangt dan urenlang bij Apps (11 of 16 installed) om vervolgens na een paar uur een error te geven.

We gebruiken hier op de zaak Dell laptops. Meestal Inspiron 7450 en 5550 en de nieuwere Pro lijn. Als ik de eerste keer via de BIOS een OS Recovery eerst doe dan gaat het wel goed en blijft hij niet hangen. Dus out of the box intunen werkt niet. Irritant want op deze manier ben ik 3 keer zo veel tijd kwijt. Zijn er hier ook mensen die de laatste tijd problemen hiermee heeft i.c.m. Dell laptops?

Ik heb het idee dat Intune struikelt over de vooraf geinstalleerde Dell troep en dat dit wel werkt na een OS Recovery....

Kun je geen corporate ready image regelen via jullie IT partner. Dan ben je van al die troep af.

En heb je de logs al even doorgespit om te zien op welke app het precies fout gaat? En eventueel de time-out voor de ESP korter gezet zodat je niet drie uur hoeft te wachten, maar na een uur al een foutmelding krijgt?

Ik heb dat vaker gezien, dan blijft het falen op de installatie van Office Apps (hij gaat bestaande verwijderen).

Anders even zien waar het op vastloopt met