Microsoft Intune ervaringentopic

Zijn er hier mensen die hun beheerde toestel van werk ook privé gebruiken?

cptbuttlick schreef op zondag 16 november 2025 @ 20:05:
Zijn er hier mensen die hun beheerde toestel van werk ook privé gebruiken?

Ja, maar meer omdat ik (nog) geen zin heb om op een werkdag met 2 toestellen te lopen.

pjlgt schreef op zondag 16 november 2025 @ 20:24:
[...]

Ja, maar meer omdat ik (nog) geen zin heb om op een werkdag met 2 toestellen te lopen.

Exact hier ook doe het al jaren met 2 toestellen maar het begint mij te irriteren.

Zijn wel bezig om MAM te implementeren, maar pas een handjevol mensen die het testen. Tot op heden geen klachten. Wat mij betreft ook een mooiere oplossing dan MDM. Dat voelt toch meer als het compleet gijzelen van een toestel.

Opzich kan ik wel gewoon veel met het toestel maar er zijn zeker beperkingen. Denk aan Ali expres telegram etc.

cptbuttlick schreef op zondag 16 november 2025 @ 20:56:
Opzich kan ik wel gewoon veel met het toestel maar er zijn zeker beperkingen. Denk aan Ali expres telegram etc.

Let er wel op dat je maar 1 apple id kunt gebruiken. Weet niet of je werk daarin voorziet?
Maar in het geval van gebruik met je eigen apple id wordt het wel een ding om de zaken gescheiden te houden.
Persoonlijke- en bedrijfscontacten bijv. Of documenten van je werk die in je privé-omgeving terecht (kunnen) komen.

Via je werkgever zal het via een "bedrijfsportal" aangeboden worden, maar als ze ook een apple id op je werk-email 'afdwingen' ga je al.
Daar hadden ze ons bij niet zo goed over nagedacht.
Vanuit de ondersteuningskant gaf dat nogal wat uitdagingen. Want je wilt eigenlijk geen (privé) apple id-dingen ondersteunen, maar zonder is zo'n iphone ook maar een manke oplossing.
Je hebt er gewoon eentje nodig voor bijv. de appstore.


Ligt er allemaal aan hoe het ingeregeld/ afgesproken is op je werk.

PowerShell Script Support Added for Win32 Intune App Deployment

Nice! Vooral dit blijf ik echt bizar vinden:

64-bit PowerShell: Calling PowerShell.exe will result in a 32-bit PowerShell instance. You had to force 64-bit execution with a specific command.

Je draait een 64 bit OS en de standaard is nog steeds de architectuur van 30! jaar geleden, 32 bit. Dat is vandaag de dag toch wel bizar te noemen. Wij gebruiken voor veel installaties ook een simpele wrapper en roepen dan %windir%/sysnative/powershell.exe (oid) aan, mede om fatsoenlijk het register beschikbaar te hebben ipv beperkt te zijn tot de syswo64 hive voor alleen 32 bit zut.

Hero of Time schreef op maandag 17 november 2025 @ 20:05:
Nice! Vooral dit blijf ik echt bizar vinden:

[...]

Je draait een 64 bit OS en de standaard is nog steeds de architectuur van 30! jaar geleden, 32 bit. Dat is vandaag de dag toch wel bizar te noemen. Wij gebruiken voor veel installaties ook een simpele wrapper en roepen dan %windir%/sysnative/powershell.exe (oid) aan, mede om fatsoenlijk het register beschikbaar te hebben ipv beperkt te zijn tot de syswo64 hive voor alleen 32 bit zut.

OK? dit was je dagelijkse MS rant?

Ze geven zelf ook aan dat het default behavior is en je het zelf kan wisselen. En nu met de nieuwe optie is het gewoon een slider.

Ook Linux heeft vage defaults van vroeger.. rustig maar.

Grvy schreef op maandag 17 november 2025 @ 20:16:
[...]

OK? dit was je dagelijkse MS rant?

Ze geven zelf ook aan dat het default behavior is en je het zelf kan wisselen. En nu met de nieuwe optie is het gewoon een slider.

Ook Linux heeft vage defaults van vroeger.. rustig maar.

Ik weet nog ten tijde van IE dat je ook apart IE (64 bit) had. Die snapte ik nog wel ivm ActiveX en de shitload aan plugins die de vele 32-bit applicaties er in frotte. Maar iets als de CLI by default 32 bit maken? Waarom? Vast ook weer een gevalletje van "men zal wel wat met 32 bit dingen doen".

Bij Windows 10 (en Server 2016) was de CLI die je via rechtermuisknop op Start kreeg ook standaard nog command prompt en had je een optie om het te veranderen naar Powershell. Beter was het om het andersom te maken, cmd optioneel, Powershell standaard.

Of powershell 7 uitbrengen maar ondertussen stug versie 5 starten als je powershell start. (moet je weer pwsh gebruiken)
Allemaal om zaken compatible te houden maar irritant is het vaak wel.

Ja, dat heb ik ook niet echt begrepen, waarom de meegeleverde Powershell nooit vernieuwd is, zeker met W11/Server 2025. Ik heb al gehad met een bepaalde module dat ik de melding kreeg dat het alleen in v7 werkte. En de standaard versie dan aanpassen? Nope, kan ook niet. Wel waar Terminal mee start dacht ik, of het was cmd vs Powershell en niet een specifieke versie.

En dan heb je ook nog powershell 2, die ze recent wel verwijderd hebben.
Dus over 5 jaar gaan ze vast powershell 5 weer verwijderen ofzo.

HKLM_ schreef op maandag 17 november 2025 @ 20:23:
Conditional Access heeft nu ook de mogelijkheid om de user sessie in te trekken als een user at risk is.
Via de Require risk Remediation optie, dit is wel echt een zeer welkome aanvulling zeker nu we steeds meer passwordless gaan zien en het wachtwoord resetten steeds minder nut heeft.

Is hier ook al een doc of message center item van? Kan hier niks vinden, maar gezien de info vervangt het dan ook de optie 'Require password change'?

Je linkje werkt niet, redirect terug naar https://techcommunity.microsoft.com/
Juiste linkje volgens mij :
https://techcommunity.mic...-intune-at-ignite/4471043

HKLM_ schreef op dinsdag 18 november 2025 @ 18:05:
Microsoft Ignite is aan de gang en hier zijn de Intune updates: https://techcommunity.mic...-intune-at-ignite/4468114

Veel AI en Agents en ik vind het wel gaaf, zeker nu security copilot includes is in de E5 licentie 😬

Vooral die laatste is wel heel fijn. Meeste klanten hebben E5, maar geen aparte Security Copilot en kunnen het straks wel mooi gebruiken.

yep ook wel interesse in Secuity copilot
Los aanschaffen en de SCU regelen was niet rond te krijgen qua business case.
Nu met E5 mooi meegenomen.

Weet iemand of het mogelijk is om autopilot/intune windows devices te migeren naar een andere tenant zonder reinstall ?
Macos kan je vanuit apple business aan een andere intune tenant hangen en dan verplaatsen de clients vanzelf.

HKLM_ schreef op donderdag 20 november 2025 @ 20:16:
Vanavond Security Copilot eens aangezet op de nieuwe agents in Intune te bekijken en de Policy configurator is wel een leuk iets hoor! Je geeft hem een beetje kennis met wat je wilt en hij zoekt het vervolgens in de setting catalog voor je op en gaan!

[Afbeelding]

+ Intune speed up news vanuit Ignite

[Afbeelding]

Goeie tip, ik ga hem ook eens ff afstoffen.

Heeft er hier iemand ervaring met het migreren van Active Directory local domain joined naar Intune Autopilot Entra joined? (Windows 11)

Zijn er betere opties dan een complete herinstallatie? Dit voelt wel als de veiligste optie, ben bang dat er allerlei problemen ontstaan als ik de devices gewoon uit het lokale AD haal en vervolgens in Entra ga joinen zonder herinstallatie.

busfronken schreef op vrijdag 28 november 2025 @ 14:28:
Heeft er hier iemand ervaring met het migreren van Active Directory local domain joined naar Intune Autopilot Entra joined? (Windows 11)

Zijn er betere opties dan een complete herinstallatie? Dit voelt wel als de veiligste optie, ben bang dat er allerlei problemen ontstaan als ik de devices gewoon uit het lokale AD haal en vervolgens in Entra ga joinen zonder herinstallatie.

Er zijn volgens mij wel scripts die je hierbij kunnen helpen. Maar ik moet eerlijk zeggen (en dat is volgens mij ook de aanbevolen methode vanuit MS) dat een herinstallatie toch wel de way to go is, althans zo doen wij het bij klanten altijd.

Herinstallatie is het best, maar soms nemen we een klant over en heeft die een domein waar niets aan beleid is geconfigureerd, dan durf ik het wel aan.

Met RMM uploaden we hardwarehashes naar Autopilot, tevens een localadmin account waarmee we een systeem uit het domein kunnen halen. Met dat account kan ook ingelogd worden om een systeem Entra ID joined te maken met een DEM of user.

Oke bedankt voor de reacties, herinstallatie it is...

HKLM_ schreef op donderdag 4 december 2025 @ 15:19:
Nieuwe van MSFT: https://www.microsoft.com...preview=1&_ppp=fe9a7fa161

Microsoft Intune suite wordt included in de E5 licentie in 2026

[Afbeelding]

@Quad @Blokker_1999 @TheVMaster

Ik zag het idd. Thanks! Dat gaat veel klanten blij maken, die betalen nu nog apart voor Intune Suite. En laten we Security Copilot in E5 ook niet vergeten.

Vind het interessant dat er een Microsoft 365 Copilot Business komt. Komt 10 euro bovenop de BP licentie.

HKLM_ schreef op donderdag 4 december 2025 @ 15:39:
[...]


Hu Copilot Business die was toch 21 euro als licentie?

Ja limited offer.
Heb al even aan collega gevraagd of die in Also al beschikbaar is.

Oké, praktisch vraagje: hoe om te gaan met app updates in combinatie met required apps vanuit de ESP?
We hebben aantal apps die we in de ESP als 'required' hebben staan bij autopilot deployments. Het device komt dus pas op de desktop als deze apps geïnstalleerd zijn. Denk bijvoorbeeld aan Office, maar ook onze 3rd party VPN oplossing.
Die VPN client komt (net als een hoop andere apps) vanuit Patch My PC, zodat we ons niet druk hoeven maken om het updaten van de app in onze Intune repo, maar dat gewoon door PMPC wordt afgehandeld.

PMPC plaatst de geupdate versie van die app als nieuwe app in Intune, met een supersedence link naar de 'oude' versie. De requirement in de ESP wijst echter hard naar een specifieke app, die nu dus niet meer gekoppeld is aan de gebruiker (PMPC neemt automatisch de assignments over naar de nieuwe versie en verwijderd de oude). We moeten dus in de ESP config een koppeling maken naar de nieuwe app. Geen probleem, maar we weten natuurlijk wanneer er een nieuwe versie van die app beschikbaar (en automatisch gepushed) is.
Ditzelfde scenario geldt overigens voor apps die in een device preparation policy staan, wat ik weer gebruik in combinatie met (frontline shared) cloud PC's.

Hoe lossen anderen dit op?

ralpje schreef op donderdag 4 december 2025 @ 16:44:
Oké, praktisch vraagje: hoe om te gaan met app updates in combinatie met required apps vanuit de ESP?
We hebben aantal apps die we in de ESP als 'required' hebben staan bij autopilot deployments. Het device komt dus pas op de desktop als deze apps geïnstalleerd zijn. Denk bijvoorbeeld aan Office, maar ook onze 3rd party VPN oplossing.
Die VPN client komt (net als een hoop andere apps) vanuit Patch My PC, zodat we ons niet druk hoeven maken om het updaten van de app in onze Intune repo, maar dat gewoon door PMPC wordt afgehandeld.

PMPC plaatst de geupdate versie van die app als nieuwe app in Intune, met een supersedence link naar de 'oude' versie. De requirement in de ESP wijst echter hard naar een specifieke app, die nu dus niet meer gekoppeld is aan de gebruiker (PMPC neemt automatisch de assignments over naar de nieuwe versie en verwijderd de oude). We moeten dus in de ESP config een koppeling maken naar de nieuwe app. Geen probleem, maar we weten natuurlijk wanneer er een nieuwe versie van die app beschikbaar (en automatisch gepushed) is.
Ditzelfde scenario geldt overigens voor apps die in een device preparation policy staan, wat ik weer gebruik in combinatie met (frontline shared) cloud PC's.

Hoe lossen anderen dit op?

Wij hebben maar een paar dingen die in de ESP stap ingesteld staan als verplicht, maar de applicaties die volgens het apparaat type als verplicht staan, worden ook tijdens ESP geïnstalleerd. Althans, dat is mijn ervaring. Onze ESP is overigens 'user driven' (na verzegelen gaat er nog een stukje draaien, logt de gebruiker in een wordt het afgerond), dus het kan zijn dat onze ervaringen anders zijn.

Maar kijk iig eens naar het verplicht stellen nav device groep, ipv het in je ESP opgeven. Alternatief zou je een dummy app kunnen maken met detectierules op de zaken die je verplicht wilt.

Maar de apps die je in je ESP opneemt als verplicht moeten reeds toegewezen zijn aan het apparaat (of gebruiker) als verplicht te installeren. Maar door de kritieke apps op te nemen worden enkel en alleen die apps geinstalleerd tijdens de ESP fase en wacht de rest tot na de ESP. Maar dat wil je dan ook in orde hebben uiteraard. Zo zit bij ons de virusscanner en VPN client als verplicht tijdens de ESP fase. En die wil je net niet dat ontbreken (want verdomde hybrid deploy vereist line-of-sight naar domain controller bij eerste login).

De beste fix zou zijn als platformen zoals PMP dit gewoon nakijken via de API calls en ook gewoon de nieuwe versie als verplicht meenemen in de ESP.

Ik wou wat spelen met app control for business.
Dacht simpel: Een managed installer app maken en op test device targeten.
En een simpele policy. Waarbij alleen trusted installer wordt toegestaan (company portal dus).
Geen audit mode of meer settings.

Doel is toch dat alleen apps geïnstalleerd kunnen worden via company portal.
Werkplek staat verder dicht.(dus geen LA rechten, apps geven een UAC scherm).Maar zaken als browers kun je alsnog als user installeren.

Policies komen binnen volgens intune.
Maar kan gewoon nog chrome, firefox en bv greenshot installeren.
Zie ik iets over het hoofd?

Heeft er iemand hier toevallig al ervaring opgedaan met Windows Backup for organizations ? Ik zit eraan te denken om een pilot op te starten om te kijken of het wat is.. Maar als er al iemand heel toevallig ervaring mee heeft, hoor ik het graag

HKLM_ schreef op donderdag 4 december 2025 @ 21:17:
[...]


Yes me! (Vanaf de private preview betrokken) Wat wil je weten?

Werkt het restoren ook echt goed ? Dus komen bepaalde settings ook terug zoals WiFi config, etc ? Levert het vertraging op tijdens de deployment? Is het van toegevoegde waarde in een AP deployment ?

Veel vragen, maar hoop dat je je bevindingen wil delen

[ Voor 14% gewijzigd door nextware op 05-12-2025 07:49 ]

DarkSide schreef op donderdag 4 december 2025 @ 20:47:
Ik wou wat spelen met app control for business.
Dacht simpel: Een managed installer app maken en op test device targeten.
En een simpele policy. Waarbij alleen trusted installer wordt toegestaan (company portal dus).
Geen audit mode of meer settings.

Doel is toch dat alleen apps geïnstalleerd kunnen worden via company portal.
Werkplek staat verder dicht.(dus geen LA rechten, apps geven een UAC scherm).Maar zaken als browers kun je alsnog als user installeren.

Policies komen binnen volgens intune.
Maar kan gewoon nog chrome, firefox en bv greenshot installeren.
Zie ik iets over het hoofd?

Weet je zeker dat er niet nog een extra regel aan staat voor signed installers die ook zijn toegestaan? En niet op 'not configured', maar expliciet geweigerd?

die moet ik even nakijken.
Heb de Security Graph wel uit staan omdat ik idd geen apps wil als notepad++ die wel veilig zijn.
Maar niet via bedrijfsportal worden geïnstalleerd.

nu lijkt mijn test device wat issue te hebben
Dus eerst even een nieuwe fixen. Zal dan even dieper kijken

Ik hoor graag je oplossing, want ik heb ook zitten kijken naar App Control/AppLocker om te voorkomen dat men zomaar .exe en .msi uitvoeren. Na wat testjes die geen klap leken te doen (alles werd toch toegestaan en niks in voor de hand liggende logs te vinden) heb ik 't in de ijskast gezet. Documentatie vond ik niet heel duidelijk en de mogelijkheden enorm beperkt met AC, want als het digitaal ondertekend is, was dat voldoende om het hoe dan ook te kunnen/mogen uitvoeren en dat is juist niet wat we willen. Leuk als je alleen malware wilt tegenhouden, maar niet om bijvoorbeeld Teamviewer te blokkeren.

Hero of Time schreef op vrijdag 5 december 2025 @ 19:35:
Ik hoor graag je oplossing, want ik heb ook zitten kijken naar App Control/AppLocker om te voorkomen dat men zomaar .exe en .msi uitvoeren. Na wat testjes die geen klap leken te doen (alles werd toch toegestaan en niks in voor de hand liggende logs te vinden) heb ik 't in de ijskast gezet. Documentatie vond ik niet heel duidelijk en de mogelijkheden enorm beperkt met AC, want als het digitaal ondertekend is, was dat voldoende om het hoe dan ook te kunnen/mogen uitvoeren en dat is juist niet wat we willen. Leuk als je alleen malware wilt tegenhouden, maar niet om bijvoorbeeld Teamviewer te blokkeren.

Ik ben met een klant ook bezig om dit soort zaken in te regelen. Initieel wilden ze naar Applocker kijken, maar na wat overtuiging toch voor Apcontrol for Business gegaan en daar wordt alles gewoon tegengehouden.

Het is wel 'complex' om goed in te regelen, dus ik denk dat je nog even naar je configuratie moet kijken.

TheVMaster schreef op vrijdag 5 december 2025 @ 19:47:
[...]

Ik ben met een klant ook bezig om dit soort zaken in te regelen. Initieel wilden ze naar Applocker kijken, maar na wat overtuiging toch voor Apcontrol for Business gegaan en daar wordt alles gewoon tegengehouden.

Het is wel 'complex' om goed in te regelen, dus ik denk dat je nog even naar je configuratie moet kijken.

Goh, dat had ik al door. Gaat er meer om dat de documentatie niet echt duidelijk is tov wat je met een paar relatief simpele klikken met AppLocker in een on-prem omgeving kan maken. Want het heeft o.a. over een installer die je toestaat (zoals Company Portal), maar we hebben een aantal one-offs die ik niet daar heb staan en we handmatig installeren voor de gebruiker. Dat moet nog kunnen. Maar men moet niet zelf zomaar wat kunnen installeren. Of even een portable zip downloaden en ergens zetten om te draaien.

Zaken die met AppLocker relatief simpel is gedaan. Maar tov App Control is erwtensoep waar de lepel in blijft staan nog helderder.

TheVMaster schreef op zaterdag 6 december 2025 @ 00:36:
[...]

Tja, maar je krijgt het niet werkend en geeft dan het product maar de schuld. 😬 ben wel met je eens dat de documentatie soms wat summier is, maar dat is eigenlijk het gros van alle documentatie.

Enige wat ik de schuld geef aan het product is het gebrek aan duidelijk documentatie en (fatsoenlijk leesbare) logs. Maar dat is eerder aan de ontwikkelaar (MS in dit geval) dan het product zelf.

Ik gaf zelf al aan dat mijn pogingen tot niks leidde en m'n tijd beter kon besteden op dat moment.

Hero of Time schreef op zaterdag 6 december 2025 @ 13:41:
[...]

Enige wat ik de schuld geef aan het product is het gebrek aan duidelijk documentatie en (fatsoenlijk leesbare) logs. Maar dat is eerder aan de ontwikkelaar (MS in dit geval) dan het product zelf.

Ik gaf zelf al aan dat mijn pogingen tot niks leidde en m'n tijd beter kon besteden op dat moment.

Maar je weet dat er een hele Microsoft community is waar je dit soort dingen vaak beter gedocumenteerd kunt vinden, maar daar heb je natuurlijk ook al gekeken..?

TheVMaster schreef op zaterdag 6 december 2025 @ 13:48:
[...]

Maar je weet dat er een hele Microsoft community is waar je dit soort dingen vaak beter gedocumenteerd kunt vinden, maar daar heb je natuurlijk ook al gekeken..?

Uiteraard, maar de paar voorbeelden deden niet wat ik wilde. Dus project -> ijskast. Anders ben ik 3 maanden full-time daar mee bezig en komen andere zaken die belangrijker zijn niet af.

Heeft er iemand een eenvoudige manier om te zien vanuit welke policy een setting uit de settings catalog gezet wordt?

Blokker_1999 schreef op woensdag 10 december 2025 @ 15:46:
Heeft er iemand een eenvoudige manier om te zien vanuit welke policy een setting uit de settings catalog gezet wordt?

Eh...Security Copilot? Ik moet eerlijk zeggen dat ik me altijd rot loop te zoeken, zelfde bij (sommige) conflicten....

Ja, de grootste winst daarin haal je door je policies goed te scheiden en duidelijke naamgeving te hanteren

Tsjah, als MS ook nog eens zelf voor een mooie scheiding zou zorgen in al zijn portalen, dan zou dat mijn leven ook weer een stuk eenvoudiger maken

Nu is het dus letterelijk een conflicterende policy maken en kijken of ik enkele uren later kan zien waar deze mee conflicteert.

ralpje schreef op woensdag 10 december 2025 @ 16:18:
Ja, de grootste winst daarin haal je door je policies goed te scheiden en duidelijke naamgeving te hanteren

True, maar vertel dat de klanten :-)

TheVMaster schreef op woensdag 10 december 2025 @ 16:33:
[...]


True, maar vertel dat de klanten :-)

Doe ik regelmatig.
Maar ja, ze luisteren zelden

Zijn er trouwens nog mensen uit dit topic morgen bij MS op Schiphol voor het 'virtualization' event? Of wordt het toch eens tijd om een Windows 365 topic te gaan starten?

ralpje schreef op woensdag 10 december 2025 @ 16:42:
[...]


Doe ik regelmatig.
Maar ja, ze luisteren zelden

Zijn er trouwens nog mensen uit dit topic morgen bij MS op Schiphol voor het 'virtualization' event? Of wordt het toch eens tijd om een Windows 365 topic te gaan starten?

Ik ben er morgen niet bij. Wist niet dat het event was, anders was ik wel ff gegaan

[ Voor 3% gewijzigd door TheVMaster op 11-12-2025 00:52 ]

Bij mijn opdrachtgever publiceren we sinds kort drive mappings via Intune door middel van ADMX. Echter na verloop van tijd verdwijnt de monitoring op de policy's waardoor ik geen idee heb wat de status is. Iemand hier ook al tegenaan gelopen? Zie onderstaand als voorbeeld.

Davidas schreef op vrijdag 12 december 2025 @ 08:45:
Bij mijn opdrachtgever publiceren we sinds kort drive mappings via Intune door middel van ADMX. Echter na verloop van tijd verdwijnt de monitoring op de policy's waardoor ik geen idee heb wat de status is. Iemand hier ook al tegenaan gelopen? Zie onderstaand als voorbeeld.

[Afbeelding]

Ik doe hetzelfde en ervaar dit niet, dus ik kan je niet helpen behalve dat dit niet een globaal ding lijkt te zijn.

Drardollan schreef op vrijdag 12 december 2025 @ 09:39:
[...]

Ik doe hetzelfde en ervaar dit niet, dus ik kan je niet helpen behalve dat dit niet een globaal ding lijkt te zijn.

Vreemd, waar heb je de ADMX files vandaan gehaald?

Davidas schreef op vrijdag 12 december 2025 @ 10:39:
[...]

Vreemd, waar heb je de ADMX files vandaan gehaald?

Pfff, ik denk Call4Cloud punt nl. Maar dat is al even geleden.

Drardollan schreef op vrijdag 12 december 2025 @ 10:47:
[...]

Pfff, ik denk Call4Cloud punt nl. Maar dat is al even geleden.

Die heb ik ook gebruikt. Je hebt de policy's ook assigned aan user groups?

[ Voor 10% gewijzigd door Davidas op 12-12-2025 10:52 ]

Davidas schreef op vrijdag 12 december 2025 @ 08:45:
Bij mijn opdrachtgever publiceren we sinds kort drive mappings via Intune door middel van ADMX. Echter na verloop van tijd verdwijnt de monitoring op de policy's waardoor ik geen idee heb wat de status is. Iemand hier ook al tegenaan gelopen? Zie onderstaand als voorbeeld.

[Afbeelding]

Dit ondervind ik ook.. Maar de ene dag wordt het overzicht wel getoond en de andere dag zie ik ook geen informatie. Maar als ik dan "Per Setting Status" kijk, dan zie ik wel informatie staan.

ADMX komt in ons geval ook van call4cloud[.]nl af.

Davidas schreef op vrijdag 12 december 2025 @ 10:51:
[...]

Die heb ik ook gebruikt. Je hebt de policy's ook assigned aan user groups?

Bij ons gekoppeld aan gebruikersgroepen.

[ Voor 12% gewijzigd door nextware op 12-12-2025 10:58 ]

Davidas schreef op vrijdag 12 december 2025 @ 10:51:
[...]

Die heb ik ook gebruikt. Je hebt de policy's ook assigned aan user groups?

Yep, ik assign sowieso enkel aan groepen. Ook als het maar 1 user is.

Drardollan schreef op vrijdag 12 december 2025 @ 11:20:
[...]

Yep, ik assign sowieso enkel aan groepen. Ook als het maar 1 user is.

Onder de per setting status zie ik in ieder geval nog op hoe veel devices de policy succesvol is gepusht. Is tenminste iets.

Lijkt erop dat steeds vaker updates niet geïnstalleerd worden door verschillende foutcodes, de welbekende trucjes:

Hernoemen distribution folders
DISM.exe /Online /Cleanup-image /Restorehealth
sfc /scannow

Werken niet.

Enige wat nu lijkt te werken is via de gui naar System -> Recovery -> Fix problems using Windows Update (Reinstall your current version of Windows (your apps, files, and settings will be preserved)

Iemand enig idee om dit remote (powershell?) op te lossen?

HKLM_ schreef op maandag 15 december 2025 @ 09:35:
[...]


Dat is al eeuwen in Windows, is je Windows update stuk dan staat het internet vol met scriptjes, etc maar onderaan de streep ik een her-installatie eigenlijk de enige oplossing..

ja, nogal ruk met tientallen devices die maandelijks geen updates meer krijgen

bramassendorp schreef op maandag 15 december 2025 @ 09:59:
[...]


ja, nogal ruk met tientallen devices die maandelijks geen updates meer krijgen

Dan zou ik denk ik eerder een support ticket aanmaken bij MS? Misschien hebben jullie een specifieke config die ervoor zorgt dat het daar vast loopt? Ik herken dit iig niet bij mijn klanten, dat er tientallen devices zijn die geen maandelijkse updates krijgen.

bramassendorp schreef op maandag 15 december 2025 @ 09:07:
Lijkt erop dat steeds vaker updates niet geïnstalleerd worden door verschillende foutcodes, de welbekende trucjes:

Hernoemen distribution folders
DISM.exe /Online /Cleanup-image /Restorehealth
sfc /scannow

Werken niet.

Enige wat nu lijkt te werken is via de gui naar System -> Recovery -> Fix problems using Windows Update (Reinstall your current version of Windows (your apps, files, and settings will be preserved)

Iemand enig idee om dit remote (powershell?) op te lossen?

Heb vorige maand 2 2025 servers gehad die updates met geen mogelijkheid wilden installeren, uiteindelijk inplace upgrade gedaan (als in weer 2025 installeren, maar dan vanaf nieuwe iso) waarna alles weer ok was.
Ging mis op iets met language files als ik de logs doornam.

Maargoed niet echt voor dit topic verder volgens mij.

[ Voor 3% gewijzigd door DDX op 15-12-2025 10:10 ]

Wellicht kunnen jullie mij hier van advies voorzien:

Wij maken gebruik van DUO Security bij het aanmelden in Windows op de laptops. Nu gebeurd het soms wel eens dat mensen bij het aanmelden de melding krijgen

Aanmeldingsfout: de gebruiker heeft geen toestemming gekregen het aangevraagde aanmeldingstype te gebruiken op deze computer.

Onze collega's van support laten dan de gebruiker een tijdje wachten, voeren een sync uit met DUO en Intune en dan een paar uur later werkt het aanmelden wel ineens.
Nu heb ik hiervoor een call ingelegd bij DUO Support en die komen met het advies om een Intune CSP te maken die "Allow log on locally" inregelt.

Nu heb ik hierover echter wel grote twijfels. Want de laptops zijn Entra-ID joined (AutoPilot) met een user-driven deployment mode. In mijn optiek laat deze deployment toe dat eigenlijk iedereen in kan loggen op de laptop, ongeacht of er nu een primary user op het device is gekoppeld..

Iemand hier toevallig ervaring mee (deze CSP of met DUO Security) ?

En ineens werkt de Intune ODJ niet meer.

Enkele dagen terug probeer ik een laptop te enrollen in onze omgeving, en die faalt meerdere keren op een rij. Ik draai get-autopilotdiagnostics, en die geeft aan dat de ODJ faalt. Ik parkeer het even omdat het niet direct mijn grootste zorg is op dat moment. Gisteren zie ik dat een collega ook problemen heeft met andere laptops die ook gewoon falen. Dus vandaag maar even verder gekeken. Om te beginnen een upgrade doorgevoerd van de connectoren zodat die zeker weer mee zijn. Maar als ik vandaag mijn test laptop probeer te enrollen, en ik ga daarna op de connectoren kijken, dan zie ik rond het tijdstip dat ik de enrollment doe niet eens in de logs dat de ODJ blob wordt aangevraagd.

What the ... ?

En ja, we hebben geprobeerd om de machines volledig uit Intune en Entra te verwijderen, de hash opnieuw te harvesten enzoverder. Ook allemaal zonder resultaat.

Blokker_1999 schreef op zaterdag 27 december 2025 @ 18:59:
En ineens werkt de Intune ODJ niet meer.

Enkele dagen terug probeer ik een laptop te enrollen in onze omgeving, en die faalt meerdere keren op een rij. Ik draai get-autopilotdiagnostics, en die geeft aan dat de ODJ faalt. Ik parkeer het even omdat het niet direct mijn grootste zorg is op dat moment. Gisteren zie ik dat een collega ook problemen heeft met andere laptops die ook gewoon falen. Dus vandaag maar even verder gekeken. Om te beginnen een upgrade doorgevoerd van de connectoren zodat die zeker weer mee zijn. Maar als ik vandaag mijn test laptop probeer te enrollen, en ik ga daarna op de connectoren kijken, dan zie ik rond het tijdstip dat ik de enrollment doe niet eens in de logs dat de ODJ blob wordt aangevraagd.

What the ... ?

En ja, we hebben geprobeerd om de machines volledig uit Intune en Entra te verwijderen, de hash opnieuw te harvesten enzoverder. Ook allemaal zonder resultaat.

Maak je ondertussen wel gebruik van de nieuwe connector? De oude is hierdoor niet meer bruikbaar.

Maandag hebben wij nog een systeem uit de doos uitgerold met hybrid join, geen problemen. Collega had de dagen ervoor wel issues met het apparaat, uitrol faalde, maar zoals 'ie is geen verdere informatie erover en omdat de stappen daarna prima liepen niet verder naar gekeken wat er mis ging.

Maar ja, check dus of je de connector met service account gebruikt, ipv een die onder user en system context kan draaien.

Uiteraard, ik was zelfs diegene die hem hier destijds gepost heeft

Blokker_1999 in "Microsoft Intune ervaringentopic"

Vandaag wel geupdate naar de allernieuwste versie, wat een stuk vlotter ging dan de installatie begin dit jaar.

En vandaag probeer ik het met een VM, en die gaat wel gewoon goed 😖Back to the drawing board.

Zal niet de eerste keer zijn dat er wat bij MS op de rug ligt met pootjes omhoog. En dan 99% van de gebruikers niets merken maar jij (algemeen gesproken) uiteraard wel.

Nope, blijkt user error te zijn

Apparaten die ingeleverd worden door gebruikers omdat ze uit dienst gaan kunnen 1 van 2 paden op gaan. Heel recente apparaten worden hergebruikt voor externe mensen van een laptop te voorzien terwijl wat oudere laptops op de stapel van reserve laptops gaan voor wanneer mensen hun laptop vergeten zijn of er een te ernstig defect is en we moeten wisselen.

En die rol, in combinatie met jaar van aankoop, zit gecodeerd in de hostname van het apparaat. Dat betekend dan ook dat we in Intune de nodige policies moeten opzetten. En daar is het mis gegaan. Bij het opzetten van de config voor spare devices, aangekocht in 2024, heb ik de verkeerde groep aan de policy gekoppeld. En blijkbaar heeft het tot eind December '25 geduurd voordat we de grouptag en bijhorende config voor het eerst gebruikten.

Deze apparaten kregen dus geen correcte domain join configuratie. Ze wisten dus wel, aan de hand van het deployment profiel dat er een hybrid join moest gebeuren, maar er was geen configuratie profiel dat deze laptops vertelde welk domein ze moesten vervoegen. Dat resulteert er dus in dat de laptop blijft wachten op zijn ODJ blob die nooit komt.

Zucht, wat zal ik blij zijn als ik van die hybride BS vanaf ben. Heb aan de manager van het client support team ook al aangegeven dat wanneer we naar non hybrid joins gaan, de naamgeving van laptops beter moet. De hostname mag niet langer dienstdoen als een vorm van asset management systeem. Ze moeten hun rommel maar in orde krijgen. Dat zij geen goed asset mgmt kunnen doen moet mijn leven niet moeilijker maken.

De nieuwe naamgeving kan toch prima met de asset management matchen? 100% op basis van serienummer/asset tag. Dat ze nu iets als <merk><type><jaar_aankoop><ordernummer> gebruiken is al een slechte standaard. Of wat ze ook maar hebben bedacht.

Vandaag hebben we land/regio van aankoop, zodat we weten waar de factuur en garantie zitten, gevolgd door 2 cijfers van het jaar van aankoop. En dan gewoon de rest opgevuld met random. Toen ik bijna 3 jaar terug begon met het ontwerp evenwel, en er van hybride helemaal geen sprake was, was het doel inderdaad gewoon regio en serienummer van het toestel.

Dus vandaag heb je iets als EU23-aZ7pL9xQ3t

En de naamgeving moet in de basis met assetmgmt matchen. Je moet je toestel uiteraard eenvoudig kunnen terug vinden. Maar de reden waarom we deze naamgeving hanteren is net om de naam als asset mgmt te gaan gebruiken, in de zin van: om te bepalen hoeveel laptops we in 2026 moeten vervangen nemen we een lijst van alle actieve laptops die geen reserve zijn en niet zijn toegewezen aan externen en dan kijken we naar waar er 22 staat als derde en vierde karakter. En met behulp van de eerste 2 karakters kunnen we daarna de lijst uitsplitsen ove de verschilende regios zodat we weten hoe we dat in onze budgetering moeten opnemen. Want we vertrouwen de data in onze asset mgmt tool niet.

Pas op, en vroeger, voordat we AP deden was het nog erger, want toen hadden we ook in de EU voor elk land een aparte prefix, ook al werden ze voor Europa allemaal via HQ aangekocht, en was de naamgeving simpelweg land-YYMM## met ## een volgnummer, en als er in 1 maand in 1 regio meer dan honderd laptops werdena aangekocht dan begonnen we met A0, A1, ... . Leuke tijden. En toen we naar AutoPilot gingen vroegen ze of we jaar en maand konden behouden . Ik dacht het niet.

Daar komt die naamgeving vandaan, en daarom heb ik vandaag een 50-tal configuratie policies in mijn Intune zitten enkel en alleen voor de domain join uit elkaar te houden want elke prefix heeft zijn eigen configuratie uiteraard. En ja, dan durft je bij het aanmaken al wel eens de verkeerde groep linken aan de verkeerde policie. En ja, dat betekend ook dat voor elk van die policies er ook een unieke dynamische device groep moet zijn.

Ondertussen hebben ze hun asset mgmt gelukkig een stuk beter op orde en zou ik het eigenlijk nu al kunnen forceren naar een eenvoudigere naamgeving, maar aangezien het doel is om in 2026 werk te maken van non-hybrid joined apparaten, ga ik de nieuwe, vereenvoudige naamgeving koppelen aan die omschakeling en heb ik vandaag de prefixen met 26 maar toegevoegd.