Microsoft Intune ervaringentopic

HKLM_ schreef op vrijdag 6 maart 2026 @ 11:25:
[...]


De info komt er in via de telemetry data vanuit Windows Client Update policies. (WUFB)

De info lijkt mij dan aanwezig, anders weet WUFB ook niet welke updates er wel en niet geïnstalleerd zijn lijkt mij. En die informatie is behoorlijk goed up-to-date, vanmorgen de laatste machines van 24H2 naar 25H2 gezet en die info is gewoon netjes aangekomen en al verwerkt in de portal en reports.

Zal wel wachten op MS Support worden, het zou mij niets verbazen als er onder water ergens aan een boom geschud moet worden in de tenant.

Vakantie zit in de weg.

Nee, ze wilden m'n sessie niet hebben

Ik heb nu al een paar keer een Win32 app actief gemaakt en ipv de Command Line optie een Script geselecteerd om de installatie te starten. Nu is bij elke van deze apps al minimaal 1x de optie in het dropdown menu zo maar gewijzigd (van script terug naar commandline), hier mensen die hetzelfde mee maken?

pstalman schreef op dinsdag 10 maart 2026 @ 08:40:
Ik heb nu al een paar keer een Win32 app actief gemaakt en ipv de Command Line optie een Script geselecteerd om de installatie te starten. Nu is bij elke van deze apps al minimaal 1x de optie in het dropdown menu zo maar gewijzigd (van script terug naar commandline), hier mensen die hetzelfde mee maken?

Dat niet, maar wel dat ik helemaal geen optie had voor script, alleen command line. Om dan na het doorlopen van alle stappen opeens wel script kan kiezen wanneer ik 'm bewerk.

---

Heb een vraag over het eenmalig uitvoeren van een script op toegewezen systemen. Ik heb al Platform Scripts gevonden en daar m'n script toegevoegd. Echter wil ik een argument mee kunnen geven, maar dat lijkt niet mogelijk te zijn. Mis ik iets?

Als het niet kan, maak ik maar aparte win32 intunewin apps. Beetje overkill voor iets dat 1x hoeft te draaien en niet op het systeem hoeft te blijven. Het is namelijk om het scherm te draaien. Alternatief is het argument hard in het script te zetten en daar 4 van toe te voegen in Platform Scripts.

Ondertussen weet ik waarom mijn SecureBoot niet gevuld wordt. Dit komt omdat de Diagnostic Data blijkbaar niet in mijn Intune aankomt.

Zover ik weet en kan zien staat alles goed, of op zijn minst gelijk aan een andere tenant waar het wel werkt. Dus nu maar eens zien hoe we dit fatsoenlijk kunnen troubleshooten. Dat wordt niet makkelijk ben ik bang.

HKLM_ schreef op dinsdag 10 maart 2026 @ 20:40:
[...]


Doe je iets op firewall niveau met je verkeer (en dan richting MSFT) Vorig jaar hebben ze aan het netwerk zitten klussen aan die kant: https://techcommunity.mic...e-network-changes/4452738

Je zou de Azure Front Door Connectivity Diagnostics Tool for Intune eens kunnen runnen.

Nope. Niks bijzonders qua firewall. De devices van de tenant die de info wel heeft gebruiken dezelfde verbinding.

Heb al wel wat met Fiddler gekeken van de week en zover ik kon zien werd de data netjes verstuurd en ook met een goede HTTP Status ontvangen.

HKLM_ schreef op woensdag 11 maart 2026 @ 09:13:
[...]


Waar staat je Diagnostic data settings op bij een device welke niet rapporteerd? Deze moet minimaal op Required of meer staan.

[Afbeelding]

Yep, staat allemaal op Required / Basic. En alle registry keys op zowel werkende tenant devices als de niet werkende devices zijn gelijk. Ik weet ook zeker dat de data naar MS gestuurd wordt, dat heb ik nu meermaals zien gebeuren.

Maar ergens is een wonder aan het gebeuren. Ik heb in mijn Devices - Autopatch overzicht nu 1 machine die gestopt is met de alert "Device diagnostic data not received" en die is overgegaan naar "Automatic update settings misconfigured" (wat vast een nieuw probleem is, maar dat is voor later). Een ander device heeft zelfs de status "No alerts" gekregen.

Om het dan nog even wat complexer te maken, het Secure Boot report geeft nu óók data voor 2 devices. En voor wie verwacht dat het dan de devices zijn die hierboven van status veranderd zijn... Nee, dat dan weer niet. 2 totaal andere devices

Het enige wat ik kan bedenken is het feit dat ik pas vrijdag of maandagochtend (weet het niet meer exact) in deze tenant de setting "Enable features that require Windows diagnostic data in processor configuration" heb aangezet. Misschien dat die dagen nodig heeft om de boel bij MS op de achtergrond te verwerken? Stond geen melding of notificatie bij verder dat het langer zou duren dan een paar minuten.

We gaan het zien, het lijkt er wel op dat een en ander zich nu gaat vullen. Eens zien hoe dit gaat aflopen de komende dagen.

Hero of Time schreef op dinsdag 10 maart 2026 @ 19:32:
[...]

Dat niet, maar wel dat ik helemaal geen optie had voor script, alleen command line. Om dan na het doorlopen van alle stappen opeens wel script kan kiezen wanneer ik 'm bewerk.

ah zou je het eens in de gaten kunnen houden dat het niet zomaar overspringt.
En ik kan ook pas het dropdown menu selecteren als er 1 teken in de command line geplaatst is.

@HKLM_ Dank voor het meedenken nog!

Langzaam druppelt er van alles binnen nu. Ineens 40% van de machines in het Secure Boot Report en in het Device overview ook steeds meer meldingen. Wel andere errors, maar dat is precies het idee van het overzicht. Laat het de komende dagen nog maar lekker binnendruppelen, kijken wat eruit komt.

Wel leuk om te zien dat mijn fixes voor de Secure Boot installatie op de devices goed werkt. Heb recent de Dell Command Update software uitgerold en er Intune policies achteraan gegooid om devices up to date te brengen. Dat lijkt goed te werken met de 40% die ik nu zie, op 1 na hebben alle devices recente versies van de BIOS en Secure Boot bijgewerkt. De ene die het niet gedaan heeft komt door missende Windows updates.

En dan te bedenken dat ik tot begin dit jaar 0 kennis en ervaring had met Intune. Nu kan ik er al behoorlijk mijn weg in vinden en voelt het elke dag comfortabeler om mee om te gaan.

Ivm certificering en wensen/eisen op het gebied van beveiliging zijn we aan het kijken wat te doen met toegang via unmanaged devices tot onze omgeving. Men begon al gelijk over het aanschaffen van een lading laptops voor die personen, maar denk dat we zeker gezien het werk wat men gaat doen het ook prima afkunnen met een Azure Virtual Desktop of Windows 365 oplossing. Gaat om het werken met een aantal SAAS oplossingen, dus eigenlijk enkel wat browser werk. Toegang hiervan gaat met een smartcard, dus dat moet wel ondersteund worden. Hier mensen ervaring met AVD of Windows 365? Laatste is kwa licenties en beheer eigenlijk prima betaalbaar. Zeker de Frontline optie. 1 licentie voor 3 gebruikers (niet concurrend uiteraard)

pjlgt schreef op woensdag 11 maart 2026 @ 14:39:
Ivm certificering en wensen/eisen op het gebied van beveiliging zijn we aan het kijken wat te doen met toegang via unmanaged toegang tot onze omgeving. Men begon al gelijk over het aanschaffen van een lading laptops voor die personen, maar denk dat we zeker gezien het werk wat men gaat doen het ook prima afkunnen met een Azure Virtual Desktop of Windows 365 oplossing. Gaat om het werken met een aantal SAAS oplossingen, dus eigenlijk enkel wat browser werk. Toegang hiervan gaat met een smartcard, dus dat moet wel ondersteund worden. Hier mensen ervaring met AVD of Windows 365? Laatste is kwa licenties en beheer eigenlijk prima betaalbaar. Zeker de Frontline optie. 1 licentie voor 3 gebruikers (niet concurrend uiteraard)

Unmanaged toegang ? Moet ik dan denken aan leveranciers die toegang moet krijgen tot jullie omgeving ?
Kijk anders naar een jump server die je met een goede Remote Access toegang beheert toegang geeft. Mooie tool die ik daarvoor ken is BeyondTrust PRA.

Wat wil je weten over Win365? Hier zitten we midden in een grote uitrol van Win365 - onder andere voor de scenario's die jij omschrijft (externen die toegang nodig hebben tot welk deel van onze infra dan ook een managed workplace geven zonder een fysiek device).
We gebruiken hier een mix van Enterprise, Frontline en Frontline Shared / Cloud Apps - ook in combinatie met FIDO2 (in de vorm van card en USB-keys).

@HKLM_, nee, maar dat is dus iets waar ik wel naar ga kijken in de toekomst. Ben nog een beetje van de oude stempel, met GPO bedoelde ik dus Intune config dinges.

BIOS is ook iets wat ik voor onze kiosk naar moet kijken. Geen idee of er een standaard voor is dat Elo ook snapt. Want het kan wel eens gebeuren dat onze servicedesker vergeet de RTC wake alarm in te stellen. En in de aparte situatie dat de CMOS batterij leeg is, is het ook wel handig. Daar hebben een paar oudere kiosken last van en het gebeurt wel eens dat die stroom verliezen met daarbij dus die instelling.

HKLM_ schreef op woensdag 11 maart 2026 @ 19:39:
[...]


Maak je al gebruik van Dell Command | DCECMI (Endpoint Configure for Microsoft Intune) vanuit Microsoft Intune? Via de setting catalog kan je als profile kiezen voor templates en dan Bios Configurations and other settings en dan kom je uit op een setting catalog pagina om een configuration profile van de dell command te uploaden welke op je devices wordt toegepast.

Ik heb ooit toen dit net nieuw was de bios wachtwoorden ingesteld voor de devices en deze worden netjes in het Entra ID object van het device opgeslagen

Als BIOS wachtwoorden niet nodig zijn is er een simpelere manier. In de “oude” Dell Command Update (dus niet de Universal variant) zitten ADMX files. Deze kan je in Intune importeren. Uit de Universal variant kan je een MSI plukken.

En dan is de combinatie wel duidelijk

Voor mij is dat voldoende, heb mij nog nooit druk gemaakt over BIOS wachtwoorden om eerlijk te zijn. Als je die goed wil beveiligen moet je ook de reset optie uitschakelen (de vroegere jumper), maar dan kan je de boel compleet bricken. Heb de laatste 20 jaar geen gebruiker ooit betrapt op de BIOS openen. Maar kan mij goed voorstellen dat andere omgevingen andere eisen hebben

Na gisteren weinig veranderingen helaas. Geen extra machines waarvan de Diagnostic Data ontvangen is en ook het Secure Boot rapport staat stil. Nu was het wel woensdag en traditioneel is dat hier een dag waarop er weinig gewerkt wordt, maar toch wel jammer.

Hero of Time schreef op woensdag 11 maart 2026 @ 19:50:
@HKLM_, nee, maar dat is dus iets waar ik wel naar ga kijken in de toekomst. Ben nog een beetje van de oude stempel, met GPO bedoelde ik dus Intune config dinges.

BIOS is ook iets wat ik voor onze kiosk naar moet kijken. Geen idee of er een standaard voor is dat Elo ook snapt. Want het kan wel eens gebeuren dat onze servicedesker vergeet de RTC wake alarm in te stellen. En in de aparte situatie dat de CMOS batterij leeg is, is het ook wel handig. Daar hebben een paar oudere kiosken last van en het gebeurt wel eens dat die stroom verliezen met daarbij dus die instelling.

Misschien handig om dat te automatiseren, want dan vergeet een ander het ook niet.
Wij laten zo alle Kiosk en andere machines het weekend aangaan voor de default onderhoudstaken.
Het werkt best goed ipv WoL vroeger.

pstalman schreef op donderdag 12 maart 2026 @ 13:20:
[...]

Misschien handig om dat te automatiseren, want dan vergeet een ander het ook niet.
Wij laten zo alle Kiosk en andere machines het weekend aangaan voor de default onderhoudstaken.
Het werkt best goed ipv WoL vroeger.

Helaas geen tool of interface kunnen vinden voor Elo Touch all-in-one systemen. De UEFI firmware settings ding van Intune doet geen RTC alarm optie, dus dat is ook geen oplossing helaas. Dus dat stukje automatiseren gaat helaas niet. Nou scheelt het wel dat bij deze dingen het BIOS zonder toetsenbord is te bereiken. We hebben al vaker mensen hier doorheen begeleid.

En het draaien van het scherm heb ik maar opgegeven. Platform Script, app, zelfs een scheduled task maken gaf niet het gewenste effect. Bij het laatste zie ik de taak wel, staat op een tijd in het verleden met de optie om het alsnog direct uit te voeren als 't gemist is, maar zelfs met herstarten wordt het niet getriggered. Er is geen 'once at logon', alleen 'once at x uur'.

Maar ik kwam erachter dat via VNC winkey+i sturen het instellingen scherm opent waardoor je alsnog naar de scherm instellingen kan. Via een fysiek toetsenbord eraan werkt dit niet en het onscreen keyboard dat verschijnt heeft geen windows toets. Dus dat is afgevangen. Enige kleine nadeel is dat het instellingen scherm niet te sluiten is, het kruisje ontbreekt en alt+F4 doet het ook niet. Dan maar herstarten of ctrl+alt+del er heen sturen en opnieuw inloggen. Wat trouwens ook grappig is, want c-a-d via VNC geeft het scherm met opties, terwijl dat met een fysiek toetsenbord zorgt dat het scherm vergrendeld wordt.

Ik ben zo wel tevreden over de config. De pinch zoom is dan maar aan de devs van de site die getoond wordt om te fixen.

Heb een nieuw issue. Of eigenlijk twee maar eentje is niet zo heel boeiend uiteindelijk. Zit nog steeds met de kiosken te klooien, heb nu een 'staging' config gemaakt voor onze devs zodat ze een zo goed lijkende omgeving hebben, maar wel de dev tools kunnen openen. Dit kan blijkbaar alleen als ik kiosk multi-app gebruik. En dan heb ik gelijk een probleem.

In de Kiosk configuratie kan je optioneel een aangepaste startmenu configuratie laden. Kies ik niks, dan is start helemaal leeg. Dat zou geen issue moeten zijn, ware het niet dat de browser is te sluiten en dan niet meer te openen tenzij er opnieuw ingelogd wordt. Heb dus liever dat Edge er gewoon te kiezen is. Maar de config vereist een xml terwijl tegenwoordig de layout voor het start menu een json is. Kan niet echt goed vinden hoe dit op te lossen is.

Alternatief pinnen we het op de taakbalk. Dat kan wel met een xml en heb ik ook opgegeven. Echter wordt deze niet toegepast. Aparte config via Settings Catalog met pinned startmenu items en daar de json invullen geeft ook geen soelaas. Hoewel, niet voor de lokale kiosk gebruiker, wél als ik met m'n eigen account inlog.

Kijk ik in het register onder hklm/software/microsoft/windows/policymanager, dan zie ik de configs uit verschillende policies. De effectieve config zie ik ook met verwijzing naar de winningpolicy GUID. Het startmenu van de kiosk gebruiker wijst echter naar een policy GUID die ik niet thuis kan brengen in Intune. Het staat wel bij de policies die ergens opgegeven zijn, maar geen idee dus welke. En hier staat een xml in met replace pinned start en geen applicatie opgegeven.
Hoe krijg ik toch nog iets gepinned op start of taakbalk?


Het tweede, wat minder boeiende dingetje is dat wanneer ik inlog met m'n 365 admin voor lokale admin rechten, ik de OOBE/ESP krijg voor het afronden van de user config. Deze blijft echter hangen en uiteindelijk na de timeout van een uur staat die op 'failed'. Ik zou helemaal geen OOBE verwachten nadat de kiosk operationeel is. Dit was eerder ook niet zo, maar heb sinds ik een aparte ESP heb gemaakt voor de kiosken niet verder getest. De ESP heb ik relatief simpel ingesteld dat het info moet tonen zodat de paar apps die zijn toegewezen eerst geïnstalleerd moeten zijn voordat het verder gaat. Misschien dat dit de reden is dat de OOBE/ESP naar voren komt. Maar ik weet geen andere manier om te wachten totdat de verplichte applicaties zijn geïnstalleerd. Het werkte eerder prima, maar kwamen de apps later. Is an sich ook een optie als het dit oplost. Zo'n ramp is het niet, het zou alleen leuk zijn.

Ik weet niet of deze al gedeeld is hier, maar Microsoft is sinds vandaag begonnen met het actief promoten van Multi-Admin Approval in Microsoft Intune. Aanleiding is een grote cyberaanval op Stryker, een Amerikaans bedrijf die medische apparatuur maakt. De aanvalsgroep heeft hier destructief gehandeld en o.a 200.000 apparaten uit Intune gewist.

Nieuwe richtlijnen in een notendop:

• Gebruik least-privilege en privileged identity management (idealiter op basis van rbac-rollen in Microsoft Intune, beperk Intune Administrator)
• Vereis phishing-resistant MFA
• Gebruik multi-admin approval

Zie ook de volgende artikelen:
Best practices for securing Microsoft Intune | Microsoft Community Hub
Waarom is het Amerikaanse bedrijf Stryker gehackt door een Iraanse hackersgroep? | NPO Radio 1
Fabrikant van medische apparatuur Stryker platgelegd door cyberaanval - Security.NL

Hero of Time schreef op maandag 16 maart 2026 @ 19:45:

Hoe krijg ik toch nog iets gepinned op start of taakbalk?

<v5:StartPins><![CDATA[{
"pinnedList":[

{"desktopAppLink":"%AllusersProfile%\\Microsoft\\Windows\\Start Menu\\Programs\\<browser.lnk>"},


}]]>
</v5:StartPins>

Ik zie de mensen hier al reageren als ik ga pushen voor multi admin approval. Het is in de basis een quick-win, maar er gaat zo hard op gevloekt worden. Ga al blij zijn als ik deze week de goedkeuring erdoor krijg voor verder te gaan met phishing resistant MFA en we in Q2 eindelijk met PIM kunnen beginnen. Want ook daar gaat volgens mij al op gevloekt worden. Te veel mensen zien security continue als een manier waarop men werken moeilijk maakt en alles maar vertraagd 😟

Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

Blokker_1999 schreef op dinsdag 17 maart 2026 @ 11:51:
Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

Is iedere dag bijna anders, wen er maar aan. Ene dag zie je de app bijna instant verschijnen en andere dag kan het ineens 2 uur duren ofzo.

Het kost natuurlijk ook "human resources".
In onze teams zijn admins met verschillende zaken bezig en hebben we geen tot zeer weinig dedicated admins of teams per expertise of dat nu Intune is of M365/Teams/Sharepoint.
Ik doe veel werk in Intune qua onderhoud van apps of configuration. De servicedesk medewerkers doen werk wat betreft device management, zowel Windows devices als Android en ioS devices. En onze security specialisten doen weer veel in Intune op gebied van CA policies, vulnerability management, wellicht een remediation script om sommige vulnerabilities te counteren, etc.
We maken al gebruik van PIM en zijn bezig met phishing resistant MFA voor de admin accounts.
Maar als ik requests van mijn collega's de hele dag moet gaan zitten beoordelen en goedkeuren, of vice versa, dan komen we niet aan ander werk toe. Dus ja, ik zie zeker de "noodzaak of wens" maar ook direct een gebrek aan capaciteit wat ik niet verwacht dat snel ingevuld zal worden.

Het ligt ook een beetje aan of je qua MSP er beheer voor doet of inhouse zit. 99% van onze klanten zit zelf niet in M365 rond te hangen namelijk.
Die paar klanten die wel een eigen IT hebben, daar zou dit wel mooi voor kunnen zijn.

Blokker_1999 schreef op dinsdag 17 maart 2026 @ 11:51:
Ik zie de mensen hier al reageren als ik ga pushen voor multi admin approval. Het is in de basis een quick-win, maar er gaat zo hard op gevloekt worden. Ga al blij zijn als ik deze week de goedkeuring erdoor krijg voor verder te gaan met phishing resistant MFA en we in Q2 eindelijk met PIM kunnen beginnen. Want ook daar gaat volgens mij al op gevloekt worden. Te veel mensen zien security continue als een manier waarop men werken moeilijk maakt en alles maar vertraagd 😟

Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

In de praktijk is least privilege en phishing-resistant MFA inloggen veel belangrijker dan multi-admin approval. Bij deze specifieke aanval had multi-admin approval sowieso weinig toegevoegde waarde gehad. Blijkbaar was de global admin gephished. Als multi-admin approval aangestaan zou hebben kon hij gewoon een 2de gebruiker aanmaken, die de juiste rechten geven en alsnog approven.

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Hangt misschien af qua grootte denk ik.
Support heeft bijvoorbeeld geen toegang tot global admin accounts van klanten, die kunnen enkel en alleen via CIPP /Lighthouse werken voor een klant.
Dan blijft beheer/M365 over natuurlijk. En er valt verder wat te zeggen, maar momenteel zijn we wel bezig met het instellen van beheeraccounts met fysieke FIDO keys.
K heb gemerkt dat het kan tegenwoordig met gedeelde passkeys, maar dat is juist wat ik niet wil.

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Herkenbaar helaas. Ik ben meer dan een jaar bezig geweest om awareness te creeeren op het gebied van least-privilege. Medewerkers van een MSP willen vooral productief zijn en dat is geen gekke gedachte. Ze hebben een service-verlenende mindset en willen het probleem van bijv. een gebruiker zsm oplossen.

Bij sommige MSP's durf ik te stellen (bij ons gelukkig niet) dat je wordt afgerekend op de hoeveelheid tickets die je oplost. Als er dan een proces zoals PIM bij komt kijken is dat niet fijn. Liever inderdaad GA en meteen overal toegang tot hebben ipv stapsgewijs de juiste rol pimmen om het probleen te pinpointen en op te lossen, wat alleen maar vertragend werkt.

Binnen een jaar tijd hebben we bij al onze klanten eligible pim-rollen op basis van het kennisniveau en ervaring van de medewerker, breakglass accounts die we periodiek testen en zijn we nu ook overal fido2 aan het uitrollen. Ons SOC werkt vrijwel alleen maar via GDAP en rollen die we gedeployed hebben met Microsoft Lighthouse. Kost even wat tijd, maar dan heb je ook wat.

Een volgende stap bij ons is wel dat we de rol Intune Administrator zoveel mogelijk willen gaan beperken. De security groepen kun je koppelen aan RBAC rollen in Microsoft Intune en weer beveiligen met PIM for Groups. Andere processen in Intune (direct of via integratie) worden steeds meer geautomatiseerd (Windows Updates via Autopatch en applicatie's worden gepatched via PatchMyPC), dus er zijn ook steeds minder redenen om gebruikers Intune Administrator te maken.

[ Voor 21% gewijzigd door FREAKJAM op 17-03-2026 13:51 ]

HKLM_ schreef op dinsdag 17 maart 2026 @ 15:41:
[...]


Dat is wel een leuke, als je de enige bent is het vaak al helemaal onmogelijk, wat je dan nog aanvullend kan doen is via conditional access met authentication context zorgen dat je als admin wel de dingen mag doen maar alleen onder bepaalde voorwaarde. Zo mag ik bijvoorbeeld alleen conditional access policies aanpassen of uitzetten vanaf onze eigen locatie i.c.m een compliant device.

Het is heel leuk om alleen te zijn. Jje hoeft namelijk geen rekening te houden met de hersenkronkels van een andere admin waar je het natuurlijk, als echte autistische IT'er die alles beter weet, toch niet mee eens bent Conditional Access is op dit moment nog een ver van mijn bed show helaas. Het staat hoog op de lijst van uit de zoeken dingen, maar het is er simpelweg nog niet van gekomen. Het is een vraagstuk waar je in mijn ogen echt voor 200% in moet duiken, bij voorkeur zonder afleiding.

Die voorwaarden is inderdaad iets wat mijn aandacht ook heeft. Ik zou echter in mijn geval eerder inzetten op phising resistant MFA afdwingen bij admin acties, simpelweg omdat ik lang niet altijd op de kantoorlocatie ben. Ik ben liever wat flexibeler, als ik op de camping met een te gare verbinding iets móet instellen dan moet dat wel werkbaar blijven.

Ongetwijfeld een vraag waar je over nagedacht hebt, maar heb je wel een escape voor als je eigen locatie niet beschikbaar is? Want een extra locatie aan de CA toevoegen in een noodsituatie wordt anders nogal een dingetje

Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

*knip* pluggen van je eigen dienst lijkt me niet helemaal de bedoeling.

Vragen of feedback? Graag hier of via de e-mail.

[ Voor 4% gewijzigd door TheVMaster op 17-03-2026 16:12 ]

TarikG schreef op dinsdag 17 maart 2026 @ 16:07:
Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

Te vinden op: **redacted**

Vragen of feedback? Graag hier of via de e-mail.

GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Thanks voor de snelle (maar ik was sneller ) reactie.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Zeker niet de bedoeling om zieltjes te winnen hoor, het is een community tool en ik dacht dat dit topic een geschikte plek was om het te delen. Maar geen enkel probleem, ik zal even met de mods overleggen wat de mogelijkheden zijn. Bedankt voor de interesse in ieder geval!

Drardollan schreef op dinsdag 17 maart 2026 @ 16:15:
[...]

Een zinloze vraag zoals ik al verwachte ;-)

Phising resistant moet ik ook nodig naar kijken, maar daarmee en met CA policies zitten we eigenlijk niet in het juist topic.

Tijd voor een Entra ID topic Spuit 11, die bestaat al.

[ Voor 8% gewijzigd door FREAKJAM op 17-03-2026 16:27 ]

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:25:
[...]


Tijd voor een Entra ID topic

Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Drardollan schreef op dinsdag 17 maart 2026 @ 16:28:
[...]


Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:29:
[...]

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

Zelfs voor de portal overviews van MS zijn dus meerdere overview portals. Wat een genot om in 2026 te leven als beheerder

pstalman schreef op dinsdag 17 maart 2026 @ 10:56:
[...]

<v5:StartPins><![CDATA[{
"pinnedList":[

{"desktopAppLink":"%AllusersProfile%\\Microsoft\\Windows\\Start Menu\\Programs\\<browser.lnk>"},


}]]>
</v5:StartPins>

Iets dumpen zonder uitleg is niet echt zinvol en imo beledigend.

HKLM_ schreef op dinsdag 17 maart 2026 @ 11:20:
@Hero of Time Is dit wat je zoekt? https://petervanderwoude....ut-on-windows-11-devices/ samen met https://petervanderwoude....tomizable-taskbar-layout/

Beide allang gevonden. En als je m'n post fatsoenlijk had gelezen, had je ook gezien dat ik verschillende config opties heb geprobeerd en dat dit voor de lokale kiosk gebruiker niks doet. Wel m'n Entra gebruiker, maar die worden niet voor de kiosk gebruikt. Heb zelfs via een OMA-URI een XML geladen voor pinned startmenu. In de XML had het ik het GUID gebruikt dat ik als winning policy zag, maar dat geeft uiteraard direct een conflict.

Er zit dus iets dat een leeg start menu geeft, de optie voor pinning aan start en taakbalk voorkomt en je er niks mee kan. Vandaag dus nog wat verder op gezocht en kom berichten tegen van gebruikers die het perfect hadden werken met 23H2, maar op het moment dat 24H2 werd toegepast, was het stuk. Dus geweldig weer MS, meer dan een jaar later is het nog steeds naar de klote. En de enige potentiële oplossing die ik tegen kom is een OMA-URI XML te maken met je config. Lekker ruk dus weer, klinkt namelijk enorm als de enorme login scripts die je vroeger had om drive mappings en printers te configuren. Good old kixtart.

Het gaat toch alleen op kantoor staan, voor productie waar bezoekers op werken is al volledig afgeschermd en single app kiosk. Ben al te veel tijd kwijt aan dit gezeik van MS.

M'n tweede puntje heb ik met een OMA-URI item ook opgelost, skip user step oid om niet de ESP te zien als een ongelicenseerde cloud gebruiker inlogt (zoals m'n admin).

Ach, we zijn toch inmiddels allemaal toch al gewend dat Hero gewoon altijd elke dag wel een keer wil ranten op MS? 😋

HKLM_ schreef op dinsdag 17 maart 2026 @ 19:05:
[...]

Doe eens ff rustig joh, probeer gewoon wat te helpen.

Sorry, maar het is gewoon zo frustrerend als je documentatie volgt en dan gewoon niet het resultaat krijgt wat je hoort te krijgen omdat de fabrikant (MS in dit geval) de boel al lange tijd heeft gesloopt zonder oplossing.

Een vraagje over deployment profiles. Destijds bij configuratie van onze intune ('21-'22) was het algemene advies om 'autmatically configure keyboard' op "no" te zetten want dit werkte toen niet goed.
Language region bij ons is Dutch Belgium en we werken met een Azerty layout.
Op zich zo'n setting in de categorie 'set and forget', maar we zijn ondertussen dik 4 jaar verder.
Er is nog eens een grote batch toestellen onderweg en ik merk bij een eerste toestel dat de OOBE in QWERTY staat (nl-NL), nl-BE is wel aanwezig. Ik heb het gisteren gefixt met een .bat file uitgevoerd vanaf usb om het goed te zetten.

Heeft het nu te maken met de image die de leverancier erop heeft gezet of is het onze deployment profile die dit veroorzaakt? Is het ondertussen wel betrouwbaar om 'automatically configure keyboard' op "yes" te zetten en dan een nl-BE keyboard layout te krijgen?

Daar kan ik spijtig genoeg niet op antwoorden want wij, als Belgische firma, gebruiken qwerty toetsenborden vanwege ons groot internationaal personeelsbestand. Iedereen hetzelfde toetsenbord, ongeacht wat je gewoon bent. Was de eerste maanden een mindfuck, maar ondertussen wel gewoon. Wij slaan die instelling dan ook gewoon over, al heeft ook ons dat op een gegeven moment problemen opgeleverd omdat onze OEM ons een Belgische image gaf op onze laptops ondanks dat we dus met een US International toetsenbord zitten, en krijgen we dan ineens een azerty layout in de OOBE ondanks het qwerty toetsenbord in het apparaat. Hebben we bij de OEM toch ook eens op tafel moeten kloppen dat zoiets echt niet kan. Ik verwacht dat jij tegen het omgekeerde probleem aanloopt op dit moment.

Drwho1 schreef op woensdag 18 maart 2026 @ 10:13:
Een vraagje over deployment profiles. Destijds bij configuratie van onze intune ('21-'22) was het algemene advies om 'autmatically configure keyboard' op "no" te zetten want dit werkte toen niet goed.
Language region bij ons is Dutch Belgium en we werken met een Azerty layout.
Op zich zo'n setting in de categorie 'set and forget', maar we zijn ondertussen dik 4 jaar verder.
Er is nog eens een grote batch toestellen onderweg en ik merk bij een eerste toestel dat de OOBE in QWERTY staat (nl-NL), nl-BE is wel aanwezig. Ik heb het gisteren gefixt met een .bat file uitgevoerd vanaf usb om het goed te zetten.

Heeft het nu te maken met de image die de leverancier erop heeft gezet of is het onze deployment profile die dit veroorzaakt? Is het ondertussen wel betrouwbaar om 'automatically configure keyboard' op "yes" te zetten en dan een nl-BE keyboard layout te krijgen?

Kan een combinatie zijn. Wij hebben systemen van Dell besteld en toen we anderhalf jaar geleden met de uitrol van Intune begonnen, hebben we de vraag voor toetsenbord ook aangezet ipv automatisch accepteren. De regio staat bij ons al op Dutch/NL, maar het vervelende was dat als het toetsenbord automatisch gekozen zou worden, we ook echt een Nederlandse indeling kregen, ipv VS Internationaal. De speciale tekens zitten dan op andere plekken dan fysiek op het toetsenbord staan. Ook voor de self-deploy configuratie kies ik zelf de toetsenbordindeling.

TheVMaster schreef op woensdag 18 maart 2026 @ 11:44:
[...]

Je weet onderhand toch ook wel dat de documentatie niet altijd volledig is en er wordt ook wel vaak uitgegaan van eigen ervaring/kennis. Foutjes moet je natuurlijk ook altijd ff doorgeven. Feedback wordt vaak wel snel opgepakt en verwerkt.

Het is niet een probleem in de documentatie, maar het toepassen van de configuratie. Tot ik er gisteren verder naar zocht, wist ik niet dat MS dat sinds 24H2 verkloot heeft en dus wat anders doet dan je configureert. Enige puntje wat afwijkt in de documentatie met wat ik zie, is de knop 'add MS Edge' in de Kiosk multi-app configuratie screenshot. Die heb ik niet (meer). Daar heb ik niet zo'n probleem mee, er is immers enorm veel te documenteren en een plaatje kan nou eenmaal licht afwijken met de werkelijkheid door de constante veranderingen in de interface. Zolang de stappen niet compleet afwijken en het gedocumenteerde pad nog bestaat zal 't mij een worst zijn eigenlijk. Meer dan een maand verwijzen naar niet bestaande locaties is wel heel kwalijk. Moet een autofabrikant eens doen als je het volume van de radio via een touch interface moet wijzigen van maximum af en het pad dat in de handleiding staat er niet meer is.

Toch maar eens verder gekeken met AutoPatch naar aanleiding van de berichten hier dat je WU policies kan aanpassen zodat de reboots wat prettiger zijn voor de users. AutoPatch heeft, zo is mijn conclusie, 1 groot voordeel en dat is dat er een actieve agent geïnstalleerd wordt wat zou moeten zorgen voor een betere en snellere rapportage. De WUfB is leuk, maar soms duurt een rapportage dagen.

Maar dan kom ik er dus achter dat AutoPatch de HotPatch uitschakelt. Daar irriteer ik mij dan weer aan, juist HotPatch is een mooie (en zeer lang verwachte) vooruitgang. Dus zit al een beetje te kijken of ik het aan moet of kan zetten ergens. Kom ik bij toeval op het Intune Message Center, lees ik daar:

Plan for Change: Windows Autopatch is enabling hotpatch updates by default

Starting with the May 2026 Windows security update, Windows Autopatch is enabling hotpatch security updates by default because they are the quickest way to get secure. This change in default behavior will impact all eligible Intune devices. Additional controls are expected in April.

Genoeg reden om er nu vooral zelf geen tijd in te gaan stoppen, over ruim een maand gaat het vanzelf goed komen.

Wel echt Microsoft anno nu hoor dit, elke nieuwe feature in de afgelopen 3 jaar is amper af te noemen. Ze droppen het een na het ander en vervolgens moet je op je blote knieën tot de MS goden smeken of ze het ook echt bruikbaar willen maken binnen nu en een jaar.

En dan de vraag of het echt beschikbaar is of niet / pas veel later ?
Zo zit ik (niet intune gerelateerd) al maanden te wachten tot DRS2.2 eindelijk bij Azure WAF aangezet kan worden, officieel released maar wil je het aanzetten heb je een developer flag nodig die er niet is. (zelfs via supportticket gehoord....)

DDX schreef op vrijdag 20 maart 2026 @ 10:12:
En dan de vraag of het echt beschikbaar is of niet / pas veel later ?
Zo zit ik (niet intune gerelateerd) al maanden te wachten tot DRS2.2 eindelijk bij Azure WAF aangezet kan worden, officieel released maar wil je het aanzetten heb je een developer flag nodig die er niet is. (zelfs via supportticket gehoord....)

In mijn beperkte IT omgeving merk ik het bij andere leveranciers eigenlijk nooit, als daar wat gereleased wordt dan is het eigenlijk altijd wel behoorlijk af. Bij Microsoft merk ik meer en meer dat het maar een half af of een houtje touwtje feature is. Natuurlijk heb ik er begrip voor dat dingen soms moeten uit kristaliseren, maar in mijn geval hierboven is het toch bizar dat je enerzijds AutoPatch introduceert en anderzijds HotPatch (wat beiden wat mij betreft een grote en welkome verbetering is ten opzichte van de oude situatie) om dan de HotPatch niet direct mee te nemen in AutoPatch... Ik vind dat echt verbazend.

Denk wel dat ik een idee heb hoe het komt, MS is zo groot geworden dat elke feature door een ander team wordt bedacht en gemaakt. Maar overleg tussen de teams is er maar zeer sporadisch en lijkt pas op gang te komen als beide teams een feature gereleased hebben. Waarna er mensen wakker schrikken dat het één nog wel aan het ander geknoopt moet worden. Dit gecombineerd met het schrappen van de testafdeling levert ontzettend vervelende situaties op voor de klant.

Aan de andere kant, als je mij (en ik denk menig beheerder) 5 jaar geleden verteld had wat er in 2026 mogelijk zou zijn vanuit de MS cloud (in de breedste zin denkbaar) dan was die verteller keihard uitgelachen en weggezet als gekkie.

MS heeft jaren terug heel veel moeite gehad om de cloud te omarmen en fatsoenlijk in te richten (het draaide eigenlijk gewoon op publiek beschikbare AD servers aangevuld met de standaard MS tools als Exchange en SharePoint). Pas de laatste paar jaar merk je dat ze dat onder controle beginnen te krijgen en zijn ze begonnen aan het verbeteren van de onderliggende systemen. Concreet voorbeeld is dat je technisch gezien 1 Entra P1 licentie nodig hebt om in een hele tenant de aan die licentie gekoppelde opties in te schakelen. Ze hadden geen methode ingericht om hier iets tegen te doen, behalve opnemen in de licentievoorwaarden. Recent is dit gewijzigd, ze zijn begonnen om dit in kaart te brengen (en volgens mij ook notificeren richting klanten, maar daar ben ik niet zeker van) en de volgende stap zal ongetwijfeld zijn dat er maatregelen worden genomen om het te voorkomen. Een goed voorbeeld waar je ziet dat nu de tijd is gekomen om stappen te kunnen maken.

Zelf ben ik daarom vrij terughoudend met nieuwe features binnen de MS cloud stack. Laat het eerst maar eens een beetje landen en de eerste fase doorkomen. Dan is er simpelweg meer kans op een product wat goed bruikbaar is. Iets wat de meeste beheerders vroeger ook al deden, nagenoeg geen enkele beheerder ging iets upgraden op de dag dat er een nieuwe versie uitkwam. Tegenwoordig bestaan ze niet meer, maar de meeste beheerders hielden vroeger aan dat ze pas na "ServicePack 1" het product eens gingen bekijken.

We zijn bezig met te kijken of we de enkele macbooks die we hebben kunnen migreren van Jamf naar Intune, maar in de laatste rechte lijn zijn we aan het struikelen over de wifi. Voor onze wifi gebruiken we NPS als radius server en de test macbooks zijn met geen stokken op onze wifi te verbinden. Zowel user als device channel falen en het feit dat er geen goede logging is op Apple devices is ook ergerlijk, tesamen met het feit dat een aanpassing aan een policy niet onmiddelijk te syncen is.

Want dat is iets wat Jamf echt wel goed doet. Je past een policy aan, en onmiddelijk kan die naar je device gepushed worden. In Intune kan je op die sync knop klikken zoveel je wenst, je kan je device status blijven checken in de company portal zoveel je wenst, maar de policy komt erdoor wanneer Intune zin heeft.

@Drardollan, het feit dat MS vele functionaliteit beschikbaar maakt voor alle gebruikers ook al heeft maar 1 gebruiker een licentie kan je ook in een ander licht bekijken. Bedrijven gaan het uittesten, gaan zien dat het goed werkt, gaan het implementeren om er pas later achter te komen dat ze er voor moeten betalen. Op dat moment is het vaak te laat om alles ongedaan te maken en zit je dus weer met een bijkomende licentie die je moet gaan betalen. Ook dat is volgens mij onderdeel van het verdienmodel geweest.

Blokker_1999 schreef op vrijdag 20 maart 2026 @ 15:38:
@Drardollan, het feit dat MS vele functionaliteit beschikbaar maakt voor alle gebruikers ook al heeft maar 1 gebruiker een licentie kan je ook in een ander licht bekijken. Bedrijven gaan het uittesten, gaan zien dat het goed werkt, gaan het implementeren om er pas later achter te komen dat ze er voor moeten betalen. Op dat moment is het vaak te laat om alles ongedaan te maken en zit je dus weer met een bijkomende licentie die je moet gaan betalen. Ook dat is volgens mij onderdeel van het verdienmodel geweest.

Dat is een bekende methode uit de WordPerfect tijd, laat mensen het thuis gratis gebruiken en ze zorgen er vervolgens voor dat elk bedrijf waar ze gaan werken het praktisch opgedrongen krijgt.

Ben er niet van overtuigd dat het bewust een strategie van Microsoft is (geweest), het heeft wel altijd in de licentievoorwaarden gestaan. Elk serieus bedrijf zal die toch lezen zou je zeggen. Denk dat het eerder een prettige bijvangst is, door niet heel actief te acteren als MS zijnde creëer je een soort van "grijze situatie". Het zal een mix zijn uiteindelijk, gebaseerd op de afweging wat meer oplevert. Direct handhaven levert nu op, maar dwingt ook tot tijd (en dus geld) in ontwikkeling. Uitstellen levert later geld op en je kan de tijd nu inzetten op zaken die meer opleveren.

Uiteindelijk zijn het maar de relatief kleine visjes die in de situatie mee gegaan zijn. Een wat groter bedrijf gaat echt de licentievoorwaarden niet schenden voor dat soort kleine bedragen. Los van de vraag of ze dat al niet afgedekt hebben in een licentieovereenkomst. En zelfs de kleinere bedrijven zie je meer en meer richting BP vertrekken, dat is natuurlijk ook waar ze serieus op ingezet hebben de afgelopen jaren.

[ Voor 4% gewijzigd door Drardollan op 20-03-2026 15:47 ]

Licentievoorwaarden lezen is 1 ding. Maar op het moment dat je oplossingen zoekt voor iets wat gevraagd wordt, ga je niet altijd nagaan onder welke licentie die oplossing beschikbaar is natuurlijk. Het werkt in je omgeving, dus zal het wel in orde zijn, niet?

En zo klein zijn de bedragen niet bij grote bedrijven. Als je elke maand 1 euro per gebruiker extra moet uitgeven, maar je hebt 10k gebruikers, reken maar uit wat het je op jaarbasis kost.

Blokker_1999 schreef op vrijdag 20 maart 2026 @ 15:38:
We zijn bezig met te kijken of we de enkele macbooks die we hebben kunnen migreren van Jamf naar Intune, maar in de laatste rechte lijn zijn we aan het struikelen over de wifi. Voor onze wifi gebruiken we NPS als radius server en de test macbooks zijn met geen stokken op onze wifi te verbinden. Zowel user als device channel falen en het feit dat er geen goede logging is op Apple devices is ook ergerlijk, tesamen met het feit dat een aanpassing aan een policy niet onmiddelijk te syncen is.

Ik had device certificaten, maar sinds strong mapping vereist is, werkt dit niet voor Macbooks. Schier onmogelijk! Wat ik ook deed, het SID kwam er maar niet bij van het computer object, maar die van de gebruiker, want de Intune processen draaien niet onder het systeem context.

Toen ik de gebruikerscertificaten toewees en het wifi profiel hier naar verwees, werkte het eigenlijk wel direct. Zorg wel dat de strong mapping register key aanwezig is op de Intune Certificate Proxy server en dat het template voor je user certificaten ook de juiste informatie meegeeft. Het standaard template voor 'User' heeft net als die voor 'Computer' niet genoeg mogelijkheden.

Vast ten overvloede, want het is zo gevonden, maar https://learn.microsoft.c...ttings-apple?pivots=macos geeft je iig een paar punten om naar te kijken. Het gaat helaas niet in op de exacte configuratie voor het certificaat zelf.

Voordat de strong mapping op enforcing werd gezet, had ik het prima werkend met device certificaten. Het was daarna eigenlijk wel eenvoudig om het om te zetten naar user certs. Let ook op de keychain locatie, die moet logischerwijs op user ipv device staan.

Want dat is iets wat Jamf echt wel goed doet. Je past een policy aan, en onmiddelijk kan die naar je device gepushed worden. In Intune kan je op die sync knop klikken zoveel je wenst, je kan je device status blijven checken in de company portal zoveel je wenst, maar de policy komt erdoor wanneer Intune zin heeft.

Je zou wel in je CA moeten zien of er een certificaat aangevraagd is door je apparaat. Ik zag het daar bijvoorbeeld eerder dan bij het policy in Intune. Maar uiteindelijk zat er ook maar een paar minuten verschil tussen, het ging eigenlijk vrij vlot bij mij. Al is het al weer eventjes geleden dat er een verandering in de config is gemaakt.

Ik heb nog wel een side note voor je. Weet je echt zeker dat je van Jamf af wilt stappen? Want ik vind de mogelijkheden in Intune erg karig en toen MacOS met wifi privacy kwam (waarbij het MAC adres van de adapter wordt aangepast), was dit zelfs een half jaar later nog niet te configureren in Intune. Heb er sindsdien niet meer naar gekeken, maar zou mij niet verbazen als het nog steeds niet mogelijk is.
Heb je dus al bekeken of al je configuratie nog mogelijk is en minstens net zo uitgebreid kan?

Het certificaat zelf is volledig in orde, dat zien we inderdaad staan en de strong mapping is ook aanwezig. Heb het ook vergeleken met het cert op een andere macbook die met Jamf wordt gedeployed en zie daar al geen verschil.

Ook gemerkt dat de collega die het profiel had aangemaakt een cruciale fout had gemaakt die me lang niet was opgevallen. De SSID was gescreven in alleen hoofdletters, terwijl deze mixed moest zijn. Zo onnozel, maar daar verlies je verdomd veel tijd mee 😅.

Nu zie ik de requests toch al tot op de NPS server komen, alleen nog niet vertrouwd, maar daar heb ik ook een idee van wat de oorzaak is. Alleen wilde het Wifi profiel niet meer tijdig syncen voor ik gisteren naar huis vertrok.

De verhuis van Jamf naar Intune is niet eens onze keuze, we moeten vanuit management. Zij wensen 1 beheersplatform in plaats van 2. Ondanks dat ze dit al jaren vragen hebben we lang vast gezete. Wat ons altijd heeft tegengehouden is het ontbreken van bepaalde functionaliteit zoals geen LAPS alternatief, maar dat is er ondertussen wel. Onze gebruikers mogen namelijk geen beheerder zijn op hun eigen toestel.

Liefst van al zouden we zelf de macbooks wegdoen. We verliezen daar zoveel tijd mee voor iets dat slechts 1% van al onze apparaten uitmaakt. En minstens 1 keer per jaar krijgen we wel van macbook gebruikers de vraag of we hen geen virtuele machine met Windows kunnen geven want ze kunnen bepaalde software niet draaien 🤦.

Blokker_1999 schreef op zaterdag 21 maart 2026 @ 09:16:
Het certificaat zelf is volledig in orde, dat zien we inderdaad staan en de strong mapping is ook aanwezig. Heb het ook vergeleken met het cert op een andere macbook die met Jamf wordt gedeployed en zie daar al geen verschil.

Ook gemerkt dat de collega die het profiel had aangemaakt een cruciale fout had gemaakt die me lang niet was opgevallen. De SSID was gescreven in alleen hoofdletters, terwijl deze mixed moest zijn. Zo onnozel, maar daar verlies je verdomd veel tijd mee 😅.

Nu zie ik de requests toch al tot op de NPS server komen, alleen nog niet vertrouwd, maar daar heb ik ook een idee van wat de oorzaak is. Alleen wilde het Wifi profiel niet meer tijdig syncen voor ik gisteren naar huis vertrok.

De verhuis van Jamf naar Intune is niet eens onze keuze, we moeten vanuit management. Zij wensen 1 beheersplatform in plaats van 2. Ondanks dat ze dit al jaren vragen hebben we lang vast gezete. Wat ons altijd heeft tegengehouden is het ontbreken van bepaalde functionaliteit zoals geen LAPS alternatief, maar dat is er ondertussen wel. Onze gebruikers mogen namelijk geen beheerder zijn op hun eigen toestel.

Liefst van al zouden we zelf de macbooks wegdoen. We verliezen daar zoveel tijd mee voor iets dat slechts 1% van al onze apparaten uitmaakt. En minstens 1 keer per jaar krijgen we wel van macbook gebruikers de vraag of we hen geen virtuele machine met Windows kunnen geven want ze kunnen bepaalde software niet draaien 🤦.

Jamf is superieur aan Intune. Microsoft geeft meer liefde aan Windows in Intune dan macOS. Goh wat gek hé?

Kost Jamf zoveel knaken voor die paar apparaten dan? Fijn dat het management technische keuzes maakt.

Het gaat hem natuurlijk ook niet alleen om de licentiekost van Jamf, want die is uiteraard betaalbaar, maar ook dat je 2 platformen moet kennen en onderhouden wat niet altijd even handig is. Er gaat disproportioneel veel tijd zitten in de macbooks, mede omdat het er zo weinig zijn.

Bij ons hebben de ontwikkelaars een Macbook. Handje vol medewerkers effectief, en omdat ze veel zelf moeten kunnen, zijn ze ook local admin. Wel fijn om te zien dat er nu dus toch iets van lokaal account beheer aanwezig is, want nu hebben ze hetzelfde wachtwoord (is onze semi-standaard). We moeten tevens 1 Macbook opnieuw installeren want niemand weet het wachtwoord van de lokale gebruiker en die is ook de enige met een secure token van het OS en die is nodig voor FileVault encryptie. Admin rechten geeft je niet per definitie een token. Wil je die naderhand geven, dan moet dat met het account dat er wel een heeft. Oeps, dat wachtwoord is niet bekend.

Hoe dan ook, dat je requests op je NPS server ziet helpt al enorm in het uitvogelen wat er eventueel mis gaat. Schijfwijze van het SSID is idd ook zo'n dingetje. Gelukkig niet zelf meegemaakt. Maar hoewel de logs soms wat aparte omschrijving kunnen hebben, is er wel fatsoenlijke informatie mee te vinden online.

Hero of Time schreef op zaterdag 21 maart 2026 @ 12:59:
Bij ons hebben de ontwikkelaars een Macbook. Handje vol medewerkers effectief, en omdat ze veel zelf moeten kunnen, zijn ze ook local admin. Wel fijn om te zien dat er nu dus toch iets van lokaal account beheer aanwezig is, want nu hebben ze hetzelfde wachtwoord (is onze semi-standaard). We moeten tevens 1 Macbook opnieuw installeren want niemand weet het wachtwoord van de lokale gebruiker en die is ook de enige met een secure token van het OS en die is nodig voor FileVault encryptie. Admin rechten geeft je niet per definitie een token. Wil je die naderhand geven, dan moet dat met het account dat er wel een heeft. Oeps, dat wachtwoord is niet bekend.

Hoe dan ook, dat je requests op je NPS server ziet helpt al enorm in het uitvogelen wat er eventueel mis gaat. Schijfwijze van het SSID is idd ook zo'n dingetje. Gelukkig niet zelf meegemaakt. Maar hoewel de logs soms wat aparte omschrijving kunnen hebben, is er wel fatsoenlijke informatie mee te vinden online.

Uiteindelijk bleek de oorzaak te liggen bij het certificaat dat we gebruikten om de NPS server zichzelf mee te laten identificeren. Om een onbekende reden hebben we op alle NPS servers en in alle profielen daar gezet op het root cert van onze CA. En met het Jamf profiel dat we nog hebben werkt dat, maar blijkbaar zit er toch een verschil in hoe Intune het doet, want daar wordt dit niet aanvaard. Misschien forceert de ene TLS1.2 en de andere 1.3?

Nadat ik een nieuw test policy op de NPS server had gezet en hier het serverspecifieke cert aan had gehangen, en in het configuratieprofiel uiteraard de juiste namen had meegegeven, werkte alles zonder problemen.

Weer een migratie waar we een uitsplitsing gaan moeten maken op NPS profielen. Bij de Win10 naar Win11 migratie hebben we dat ook moeten doen. Al ben ik daar de reden alweer vergeten

Wat bedoel je met 'profielen' in NPS? Ik heb op onze NPS één Network Request Policy en daarna aparte Network Policies per SSID, waar het Caller-ID de netwerknaam bevat (moet je APs die ook mee sturen, dat is optioneel maar wel dus vereist als je dit op deze manier gebruikt). Eigenlijk heel basic bij m'n opzet. De authentication methods in het Network Policy doet dan alleen certificaten en geeft het server certificaat als identity mee voor clients om zeker te zijn dat ze met de juiste verbinden. Dit werkt met Windows, Linux en MacOS. Waarbij voor MacOS de certificaten van de gebruiker is, Windows en Linux (mijn eigen systeem, er is maar 1 Linux client ) zijn device certificaten.

policies inderdaad, geen profielen. Onze Windows devices hebben een eigen policy want daar vereisen we o.a. dat het device domain joined is. Bij de macbooks kan dat niet, dus daar kijken we of het een gebruiker is die een mac mag hebben. Vroeger, in een ver en duister verleden konden we niet vertrouwen op gebruikerscertificaten omdat die een exporteerbare private key hadden, maar dat is ondertussen ook al weer enkele jaren verleden tijd.

Maar we moeten stilaan beginnen kijken naar een andere oplossing dan NPS, want als we in de toekomst non-hybrid gaan, dan wordt het toch echt moeilijk om onze wifi authenticatie te laten afhangen van het domein

Ja, dat willen wij ook. Het gaat nu veel te vaak fout met de certificaten bij een hybrid-joined systeem waarbij het certificaat gewoonweg geen strong mapping bevat omdat die al wordt aangevraagd voordat het object in AD bestaat. Zelfs met m'n rename script gaat het alsnog fout.

Ik wil nog een PoC maken met FreeRadius, maar we blijven waarschijnlijk bij Aruba Clearpass voor o.a. poort authenticatie en dynamische VLANs. Het kan ook 802.1x met certificaten. Voor 802.1x user authenticatie is het nodig dat Clearpass bij AD is aangemeld en NTLM babbelt. Maar dat gaat binnenkort stuk omdat MS eindelijk NTLM uit faseert. Iets wat ze 20 jaar geleden al zeiden te gaan doen.

Error 65000. Die is weer van legendarisch Microsoft niveau. Net als de BSOD schermen die je niks ander vertellen dan dat je OS dood is gegaan en reanimatie vereist.

Blijft verbazend hoe slecht de foutmeldingen van MS zijn, over de hele linie. Je kan er nagenoeg nooit iets serieus mee qua troubleshooting.

Dat gezegd hebbende, ik heb geen oplossing voor je. Want ik heb er geen ervaring mee. Ik ben nu al blij dat ik weer 2 devices heb kunnen fixen qua AutoPatch / WUfB. Dat is van hetzelfde niveau qua melding.

Als je denkt dat de foutmeldingen van MS slecht zijn heb je duidelijk nog geen Apple hardware beheert . Maar het zou inderdaad een stuk beter mogen. Al moet ik zeggen dat als je de echte foutmelding ziet je vaak ook niet veel wijzer wordt. Dan zie je de deep dives van iemand als een Rudy Ooms en dan denk je: waar zijn we in hemelsnaam toch mee bezig?

HKLM_ schreef op donderdag 2 april 2026 @ 12:02:
Iemand ervaring met het pushen van een background of lockscreen image op Windows 11 Pro, dit was voorheen altijd een Windows Enterprise CSP maar volgens de documentatie kan het nu ook op Pro en education.

https://learn.microsoft.c...=intune&pivots=windows-11

Alleen op mijn Pro krijg ik op de policy een Intune 65000 error... pas ik de policy toe op enterprise instant werken.

Wat is je vraag. Ik heb dit een tijd terug voro een klant geconfigureerd....zij hebben wel Enterprise overigens.

HKLM_ schreef op donderdag 2 april 2026 @ 14:40:
[...]


Of iemand het op Pro of Educatie heeft werken, dat zou volgens de documentatie nu dus moeten werken maar ik krijg het niet aan de praat.Op Enterprise inderdaad wel (zelfde policy)

Die error 65000 is een melding dat het apparaat geen idee heeft wat-ie met de policy moet doen (maar dat hoef ik jou niet te vertellen ).
Zie je wel dat de registerkey wordt aangemaakt op het device ?

En: welke versie draait je client? Kan best zijn dat de client-side support voor die CSP pas in (bijvoorbeeld) 25H2 zit.

HKLM_ schreef op donderdag 2 april 2026 @ 14:40:
[...]


Of iemand het op Pro of Educatie heeft werken, dat zou volgens de documentatie nu dus moeten werken maar ik krijg het niet aan de praat.Op Enterprise inderdaad wel (zelfde policy)

Werkt hier prima op enterprise, maar recent machine die teruggevallen was naar pro licentie uit bios en spontaan was achtergrond weg.
Dus heb het idee dat info op die pagina dat het op pro werkt wel klopt.

Er zijn genoeg manieren om ook op Pro een wallpaper in te stellen, heb ik voor een paar klanten ook op die manier gedaan. Heb zelf een script in een Win32 gegoten > fixed.

Eindelijk een Windows Update doorbraak. Heb eindelijk een methode gevonden om de laptops zover te krijgen dat ze het doen, ondertussen op meerdere PC's succesvol kunnen uitvoeren. Jammer dat het handwerk is

Drardollan schreef op vrijdag 3 april 2026 @ 15:29:
Eindelijk een Windows Update doorbraak. Heb eindelijk een methode gevonden om de laptops zover te krijgen dat ze het doen, ondertussen op meerdere PC's succesvol kunnen uitvoeren. Jammer dat het handwerk is

Wat was het probleem en wat was de oplossing?

bramassendorp schreef op vrijdag 3 april 2026 @ 19:01:
[...]

Wat was het probleem en wat was de oplossing?

Laptops die hiervoor NinjaOne hadden bleven fouten geven dat de automatic update settings niet goed stonden. De fix is in de lokale GPO de automatic update aanzetten, paar uur wachten en weer uitzetten.

Had hetzelfde gedaan via regkeys, maar dat werkte niet. Blijkbaar doet gpedit nog iets extra. Ook een intune policy met deze setting werkte niet, fout: conflicting policy.