Toon posts:

Microsoft Endpoint Manager ervaringen topic

Pagina: 1 2 Laatste
Acties:

Onderwerpen


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
TheVMaster schreef op dinsdag 2 november 2021 @ 14:27:
[...]


Heb je dit issue ook als je hem native in AAD joined (ipv Hybrid AD join)? Is er een goede reden om de devices niet native in AAD te hangen?
Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
nextware schreef op Tuesday 2 November 2021 @ 14:30:
[...]


Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).
Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Hann1BaL schreef op Tuesday 2 November 2021 @ 14:35:
[...]


Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:
[Afbeelding]
Die feature zit er al best een tijdje in :+ Maar die is wel erg handig!

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

TheVMaster schreef op dinsdag 2 november 2021 @ 14:36:
[...]


Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.
Realiteit is dat de berg policies verplaatsen zo lang kan duren dat je niet naar autopilot kunt en als je het beetje bij beetje doet, ben je sneller bij remote provisioning.
Dat is bij ons het uitgangspunt om helaas een tijd hybrid te blijven.

Ook werkt onze IdP nu beter met AD accounts en niet met volledige UPNs wat de UX van niet hoeven in te loggen sloopt.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 13:32:
@TheVMaster Ik ben nu aan het testen met een laptop voor een Windows AD met Intune managing mogelijkheid zonder dat daar een SCCM-server voor om de hoek komt kijken.

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )


Nog suggesties / ideeën waar ik kijken/zoeken moet?
Ik neem aan dat je met AD connector het device toevoegt aan je AD?
Dat doen wij in ieder geval wel.
Zorg wel dat het OU gesynced wordt naar AAD. (default is elke 15 min volgens mij.)
Check handmatig of het device al zichtbaar is in AD, AAD en Intune en dat de SYNC gelukt is.

Dit kan ook een interessant script zijn:
https://oofhours.com/2020...agnostics-digging-deeper/

  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
TheVMaster schreef op dinsdag 2 november 2021 @ 14:36:
[...]


Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.
Wij hebben een aantal applicaties die legacay policies vereisen voor de werking. Dit is een dinosaurus uit het jaar Kruik, maar wel iets waar we op dit moment nog mee te maken hebben. Gelukkig hebben we de app een paar jaar geleden op Windows 10 werkend gekregen (AppV). De leverancier was zeer benieuwd hoe we dat voor elkaar hadden gekregen :+

Zoals ik al aangaf zijn we bezig met het overstappen naar AAD-joined werkplekken. Dit zullen in het begin onze mobile devices zijn en in een later stadium ook desktops.

[Voor 11% gewijzigd door nextware op 02-11-2021 14:42]


  • D_Jeff
  • Registratie: april 2011
  • Nu online
@nextware A-men. _/-\o_

Na de meest vage sites gehad te hebben, zijn dit indd tips / suggesties waarmee ik aan de slag kan. (ben al een goede week aan het zoeken)

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)

Hold. Step. Move. There will always be a way to keep on moving


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:
@nextware A-men. _/-\o_

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Graag gedaan. Hopelijk zit de oplossing erbij :)

Inzake die hardware ID's: Microsoft zet die standaard in onze tenant op het moment dat wij een batch laptops (Microsoft Surfaces) bestellen. We hebben ook laatst Dell toegang gegeven zodat zij ook de ID's direct kunnen uploaden.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Dit outsourcen we naar onze partners: direct 1 van de grote OEMs en een derde partij die de hardware voor ons koopt. Kost niet zoveel, maar dan ben je van het gedoe af.

Het hangt natuurlijk van de grootte van je vloot af :)

[Voor 6% gewijzigd door Hann1BaL op 02-11-2021 14:46]


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
D_Jeff schreef op Tuesday 2 November 2021 @ 14:42:
@nextware A-men. _/-\o_

Na de meest vage sites gehad te hebben, zijn dit indd tips / suggesties waarmee ik aan de slag kan. (ben al een goede week aan het zoeken)

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Die site is van een voormalig Microsoft medewerker. Een van de grondleggers van MDT om precies te zijn. Heel veel interessante info te vinden op zijn blog.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Hann1BaL schreef op Tuesday 2 November 2021 @ 14:38:
[...]


Realiteit is dat de berg policies verplaatsen zo lang kan duren dat je niet naar autopilot kunt en als je het beetje bij beetje doet, ben je sneller bij remote provisioning.
Dat is bij ons het uitgangspunt om helaas een tijd hybrid te blijven.

Ook werkt onze IdP nu beter met AD accounts en niet met volledige UPNs wat de UX van niet hoeven in te loggen sloopt.
Maar waarom zou je alle policies vanuit GPO gaan vertalen naar Intune? Je kunt veel beter bepalen wat je allemaal wilt bereiken en dan kijken hoe je dat vanuit de 'moderne manier' kunt doen ipv alle policies 1 op 1 proberen over te zetten.

Dit is overigens hoe wij het vaak doen bij grote projecten. Het is onbegonnen werk om GPO's (met vaak settings die teruggaan naar het Windows XP / 7 tijdperk waarvan men soms niet eens meer weet waarom een bepaalde setting is gezet) te migreren naar Intune.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

Bij mijn vorige opdrachtgever had ik een accountmanager van Dell gevraagd dat te doen. Reactie: "Wat is dat?"
En daarna was de bestelling al goedgekeurd. 125 desktopsje hardware-id extracten -- de werkdagen waren snel over, zeg maar. Wat een <*********> klusje

Hold. Step. Move. There will always be a way to keep on moving


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
nextware schreef op Tuesday 2 November 2021 @ 14:41:
[...]


Wij hebben een aantal applicaties die legacay policies vereisen voor de werking. Dit is een dinosaurus uit het jaar Kruik, maar wel iets waar we op dit moment nog mee te maken hebben. Gelukkig hebben we de app een paar jaar geleden op Windows 10 werkend gekregen (AppV). De leverancier was zeer benieuwd hoe we dat voor elkaar hadden gekregen :+

Zoals ik al aangaf zijn we bezig met het overstappen naar AAD-joined werkplekken. Dit zullen in het begin onze mobile devices zijn en in een later stadium ook desktops.
Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
D_Jeff schreef op Tuesday 2 November 2021 @ 14:50:
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

Bij mijn vorige opdrachtgever had ik een accountmanager van Dell gevraagd dat te doen. Reactie: "Wat is dat?"
En daarna was de bestelling al goedgekeurd. 125 desktopsje hardware-id extracten -- de werkdagen waren snel over, zeg maar. Wat een <*********> klusje
Dat hoeft toch niet zo heel veel werk te zijn? Desnoods de machines laten booten vanaf een stick en dan de hardware hash via een script naar een .csv op de USB laten schrijven.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

TheVMaster schreef op dinsdag 2 november 2021 @ 14:50:
[...]


Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?
Deze vraag is heel erg afhankelijk van de grootte van de enterprise.
In een relatief kleine omgeving heb je helemaal gelijk. In een bedrijf waarin de IT afdeling 1000 man is en er allerlei apps zijn voor bepaalde afdelingen die specifiek gebruikt worden in land X, is dat uitfaseren van apps niet zo eenvoudig, omdat je daar als infra team niet zoveel invloed op hebt.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+

Hold. Step. Move. There will always be a way to keep on moving


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+
Dat is het waar het dus mis is gegaan: non-alco....
Dat is waar je het probleem had kunnen oplossen. Je had er geen tijd mee gewonnen in dat geval.

  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
TheVMaster schreef op dinsdag 2 november 2021 @ 14:50:
[...]


Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?
Ik zal je een voorbeeld geven:

Eén van de apps vereist dat de Regional Settings op Dutch (Nederlands)* staan. Anders werkt die app gewoon NIET. Het is een op VB6 gebaseerde applicatie van ongeveer 15 jaar oud die ongeveer 20 DLL en OCX-bestanden vereist op het systeem. Ontwikkelaar van de app was een interne medewerker, maar die persoon is helaas ongeveer 7 jaar geleden overleden. En niemand wil zich eraan branden om te kijken of die vereiste er niet uitgehaald kan worden.

Geprobeerd om dit opgelost te krijgen met een configuration setting in EndPoint. Heb het na een week zoeken, testen, vloeken, tieren en zuchten maar opgegeven. Dat is gewoon niet mogelijk.

Die app wordt ook over een tijdje uitgefaseerd. Maar tot die tijd zijn we dus gebonden aan legacy GPO's.

* En das niet handig als je in een bedrijf werkt met medewerkers in het buitenland die deze app ook moeten gebruiken vanwege hun functie :(
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.
Een beetje grote distri kan dit wel geregeld krijgen. Ik vermoed dat jouw opdrachtgever dan wellicht een ander bedrijf hebben waar ze hun inkoop doen. Gewoon die vraag daar neerleggen. Dan kan die partij dat ook gewoon aanvragen bij de distri waar ze hun spul inkopen.

Ik weet dat bijvoorbeeld een CentralPoint of een Supply Line dit zonder problemen voor je kunnen regelen.

[Voor 25% gewijzigd door nextware op 02-11-2021 15:00]


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

TheVMaster schreef op dinsdag 2 november 2021 @ 14:49:
[...]


Maar waarom zou je alle policies vanuit GPO gaan vertalen naar Intune? Je kunt veel beter bepalen wat je allemaal wilt bereiken en dan kijken hoe je dat vanuit de 'moderne manier' kunt doen ipv alle policies 1 op 1 proberen over te zetten.

Dit is overigens hoe wij het vaak doen bij grote projecten. Het is onbegonnen werk om GPO's (met vaak settings die teruggaan naar het Windows XP / 7 tijdperk waarvan men soms niet eens meer weet waarom een bepaalde setting is gezet) te migreren naar Intune.
Zeker een goed idee, maar dan sta je voor de keuze:
Ga je dat allemaal eerst doen voordat je AutoPilot kunt gebruiken
OF
Ga je eerst een hybrid omgeving uitrollen zodat je voordelen van AutoPilot hebt en ga je daarna rustig alles verhuizen?
Zeker als GPOs niet de enige limitatie is, is optie 2 niet zo onlogisch. Uiteraard ook waarom we optie 2 bewandelen.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk :P

Let op: openbaar topic!

Hold. Step. Move. There will always be a way to keep on moving


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
D_Jeff schreef op dinsdag 2 november 2021 @ 15:01:
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk :P

Let op: openbaar topic!
Mijn werkgever ? Nee, das geen ISP :)
Ik werk in de aardappelverwerkende industrie ;)
Hann1BaL schreef op dinsdag 2 november 2021 @ 14:35:
[...]


Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:
[Afbeelding]
Thx die had ik ondertussen al gevonden en gepost :)

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Hann1BaL schreef op Tuesday 2 November 2021 @ 15:00:
[...]


Zeker een goed idee, maar dan sta je voor de keuze:
Ga je dat allemaal eerst doen voordat je AutoPilot kunt gebruiken
OF
Ga je eerst een hybrid omgeving uitrollen zodat je voordelen van AutoPilot hebt en ga je daarna rustig alles verhuizen?
Zeker als GPOs niet de enige limitatie is, is optie 2 niet zo onlogisch. Uiteraard ook waarom we optie 2 bewandelen.
Tja, ken genoeg (heel grote) klanten die volledig cloud native gaan met hun nieuwe werkplek. Dus niet eerst Hybride. Ligt er overigens wel aan wat voor ‘legacy’ je hebt, maar neem van mij aan. Die klanten waar ik dus mee werk over het algemeen 10.000+ medewerkers en die gaan dan dus direct native cloud (en hebben nu vaak nog on-prem AD only.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
nextware schreef op Tuesday 2 November 2021 @ 14:58:
[...]


Ik zal je een voorbeeld geven:

Eén van de apps vereist dat de Regional Settings op Dutch (Nederlands)* staan. Anders werkt die app gewoon NIET. Het is een op VB6 gebaseerde applicatie van ongeveer 15 jaar oud die ongeveer 20 DLL en OCX-bestanden vereist op het systeem. Ontwikkelaar van de app was een interne medewerker, maar die persoon is helaas ongeveer 7 jaar geleden overleden. En niemand wil zich eraan branden om te kijken of die vereiste er niet uitgehaald kan worden.

Geprobeerd om dit opgelost te krijgen met een configuration setting in EndPoint. Heb het na een week zoeken, testen, vloeken, tieren en zuchten maar opgegeven. Dat is gewoon niet mogelijk.

Die app wordt ook over een tijdje uitgefaseerd. Maar tot die tijd zijn we dus gebonden aan legacy GPO's.

* En das niet handig als je in een bedrijf werkt met medewerkers in het buitenland die deze app ook moeten gebruiken vanwege hun functie :(


[...]


Een beetje grote distri kan dit wel geregeld krijgen. Ik vermoed dat jouw opdrachtgever dan wellicht een ander bedrijf hebben waar ze hun inkoop doen. Gewoon die vraag daar neerleggen. Dan kan die partij dat ook gewoon aanvragen bij de distri waar ze hun spul inkopen.

Ik weet dat bijvoorbeeld een CentralPoint of een Supply Line dit zonder problemen voor je kunnen regelen.
Tuurlijk, maar het een sub-set van de gebruikers is die dat soort legacy moet gebruiken (en die dus een move naar een moderne oplossing in de weg staan). Misschien kunnen ze dan met WVD overweg? Zo laat je je niet gijzelen door een paar legacy apps.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Hann1BaL schreef op Tuesday 2 November 2021 @ 14:54:
[...]

Deze vraag is heel erg afhankelijk van de grootte van de enterprise.
In een relatief kleine omgeving heb je helemaal gelijk. In een bedrijf waarin de IT afdeling 1000 man is en er allerlei apps zijn voor bepaalde afdelingen die specifiek gebruikt worden in land X, is dat uitfaseren van apps niet zo eenvoudig, omdat je daar als infra team niet zoveel invloed op hebt.
Tja, natuurlijk heb je daarmee te maken. Maar wat ik vaak zie dat het applicatielandschap voor (bijna) iedereen een grote onbekende is. Slechte documentatie, dus eigenlijk heeft niemand het overzicht :-(

Je zult daar toch een keer werk van moeten maken. Moet eerlijk zeggen dat ik maar weinig enterprises tegenkom waarbij 1000 man verantwoordelijkheden hebben, maar goed. Vaak zijn er (als het goed is) applicatie eigenaren die dat voor hun eigen apps vrij goed kunnen aangeven, tuurlijk heb je ook organisaties waar men dat niet heeft. Maar dat zijn toch vaker de slecht georganiseerde MKB organisaties (waarbij de systeembeheerders ook niets documenteren :+).

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
D_Jeff schreef op Tuesday 2 November 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+
Vraagje. Is het misschien ook een idee dat je een bericht [quote] als je op iemand reageert? Nu moet ik iedere keer teruglezen, waar je op reageert O-) en ik ben van nature erg lui.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
nextware schreef op dinsdag 2 november 2021 @ 14:30:
[...]


Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).
Vandaag ook nog op de wensenlijst gekomen. Nog tips/advies hiervoor?
Verder: Zodra ik meer bevinden heb, zal het ik hier laten weten :)

Hold. Step. Move. There will always be a way to keep on moving


  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

Heeft iemand toevallig ervaring met App Configuration Policies om legacy EAS policies op Outlook Mobile toe te passen? Ik heb dat eigenlijk een beetje verwaarloosd maar zit nu met een policy waarvan maar drie dingen (deels) op Outlook Mobile werken. De rest, zoals het verlopen van de pin/password na 90 dagen, probeer ik met een App Configuration Policy op te pakken.

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Tuesday 2 November 2021 @ 18:00:
Heeft iemand toevallig ervaring met App Configuration Policies om legacy EAS policies op Outlook Mobile toe te passen? Ik heb dat eigenlijk een beetje verwaarloosd maar zit nu met een policy waarvan maar drie dingen (deels) op Outlook Mobile werken. De rest, zoals het verlopen van de pin/password na 90 dagen, probeer ik met een App Configuration Policy op te pakken.
Eh….waarom doe je nog legacy EAS? Heb wel ervaring met App Config policies, maar niet specifiek voor legacy EAS zaken.

  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff

Drivemappings? Ja, moest bij ons op de zaak ook, hadden het liever niet gehad, maar ja..

Hadden problemen dat drives snel in disconnected state kwamen wanneer we de drivemappings via commandline/powershell deden
terwijl als we de drivemapping "met de hand" deden, bleef de mapping correct werken.
ook wil je de mappings kunnen pushen terwijl er geen connectiviteit is met het kantoornetwerk

Uiteindelijk hebben we een Win32app gemaakt met een powershell script welke de juiste waarden in keys onder

HKEY_CURRENT_USER\Network plaatst.
Vanaf de eerstvolgende logon zijn de mappings dan actief

Ik plaats straks even een (hele slechte) screenshot van wat ik bedoel en zal kijken of ik de code van het script hier ook kan plaatsen.
Nu eerst even hapje eten..

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@akimosan Al komt het later deze week, vind ik het ook prima.
Je gezondheid/lijf gaat voor ;)

Hold. Step. Move. There will always be a way to keep on moving


  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff
Drivemapping N:


Script: Omdat we gebruikmaken van persistent mappings moet UseOptions met de juiste HEX waarde worden gevuld. Die hex waarde stoppen we in een variabele.
De variabele kun je vervolgens hergebruiken. We gaan wel uit van single signon dus dat je de de mapping kunt doen met de UPN van de user die is ingelogd.
Meer drivemappings? Kopieer en plak de sectie vanaf New-Item onderaan het script en pas de driveletters en RemotePath aan

Create-NetworkDrives.ps1

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#


Deployment hebben we als script gedaan, ik schreef W32app met script maar is script only..

[Voor 14% gewijzigd door akimosan op 02-11-2021 18:50]


  • albert04
  • Registratie: februari 2004
  • Laatst online: 26-01 17:21
TheVMaster schreef op dinsdag 2 november 2021 @ 18:03:
[...]


Eh….waarom doe je nog legacy EAS? Heb wel ervaring met App Config policies, maar niet specifiek voor legacy EAS zaken.
Dat gaat ook niet lekker werken.. Requirement is hiervoor Exchange Online.. App Config en Protection policy zullen niet volledig functioneren op een Legacy EAS..

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
albert04 schreef op Tuesday 2 November 2021 @ 18:50:
[...]


Dat gaat ook niet lekker werken.. Requirement is hiervoor Exchange Online.. App Config en Protection policy zullen niet volledig functioneren op een Legacy EAS..
Ik zou toch verwachten dat als je je werkplekken managed met Endpoint Manager, dat je dan ook wel op Exchange Online zit.

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

Ja, zit in Exchange Online. We ondersteunen ook geen EAS clients meer, alleen Outlook Mobile. Alleen voor het managen gebruiken we nog EAS policies.

Eén van de dingen waar ik tegenaan loop is dat AC policies niet stapelbaar zijn. Alleen al om te testen moet ik een kopie van de productie policy maken, die toekennen aan een paar gebruikers en daar de wijzigingen in maken. Sowieso hebben we al twee verschillende AC policies, van elke eentje voor iOS en eentje voor Android en daar komt nu dus een stukje functionaliteit bij. Willen we straks iets aanpassen aan bijvoorbeeld pinvereisten of verlopen van de pin dan moeten we dus vier verschillende AC policies bewerken. Dat verdubbelt nu omdat ik twee verschillende EAS policies moet nabootsen, eentje voor 90 procent van de gebruikers en eentje die strikter is voor de rest. Wat een drama!

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

[Voor 4% gewijzigd door Jazzy op 03-11-2021 13:02]

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Tuesday 2 November 2021 @ 19:24:
Ja, zit in Exchange Online. We ondersteunen ook geen EAS clients meer, alleen Outlook Mobile. Alleen voor het managen gebruiken we nog EAS policies.

Eén van de dingen waar ik tegenaan loop is dat AC policies niet stapelbaar zijn. Alleen al om te testen moet ik een kopie van de productie policy maken, die toekennen aan een paar gebruikers en daar de wijzigingen in maken. Sowieso hebben we al twee verschillende AC policies, van elke eentje voor iOS en eentje voor Android en daar komt nu dus een stukje functionaliteit bij. Willen we straks iets aanpassen aan bijvoorbeeld pinvereisten of verlopen van de pin dan moeten we dus vier verschillende AC policies bewerken. Dat verdubbelt nu omdat ik twee verschillende EAS policies moet nabootsen, eentje voor 90 procent van de gebruikers en eentje die strikter is voor de rest. Wat een drama!
Waarom manage je de client niet met Endpoint Manager dan?

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 12:40:
Waarom manage je de client niet met Endpoint Manager dan?
Denk dat ik je vraag niet goed begrijp, want dat is precies wat ik nu aan het doen ben. Het Intune equivalent om toegang tot een app te configureren is een App Configuration Policy.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

[Voor 9% gewijzigd door Jazzy op 03-11-2021 13:03]

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Wednesday 3 November 2021 @ 12:43:
[...]

Denk dat ik je vraag niet goed begrijp, want dat is precies wat ik nu aan het doen ben. Het Intune equivalent om toegang tot een app te configureren is een App Configuration Policy.
Sorry, dan begrijp ik je verkeerd. Ik zie steeds dat je zaken met EAS policies doet. Maar je wilt dus graag met Intune policies aan de slag.

Wat probeer je precies te bereiken dan? Wat wil je configureren/instellen wat niet lukt?

Als je bijvoorbeeld PIN's wilt afdwingen om Outlook te openen, waarom geen App Protection Policy dan?

[Voor 8% gewijzigd door TheVMaster op 03-11-2021 12:47]


  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. :) Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Wednesday 3 November 2021 @ 12:58:
Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. :) Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Dit kan allemaal gewoon via een App Protection Policy.... Eh...over wat voor soort Outlook policy hebben we het in hemelsnaam? De APP policy kan bovenstaand namelijk gewoon allemaal, maar jij verwijst naar een artikel die het niet over MEM heeft, maar over Outlook zelf.

Wat probeer je nu te bereiken dan met de apps, want volgens mij haal jij zaken door elkaar? :?

Hieronder een voorbeeld APP voor iOS:

[Voor 10% gewijzigd door TheVMaster op 03-11-2021 14:02]


  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

Haha, en dat is dus precies wat ik aan het doen ben. :) Sorry voor de spraakverwarring eerder. Vroeg me af of iemand tips of praktijkervaring hiermee heeft. Klopt het bijvoorbeeld dat ik niet één extra APP kan maken met alleen de app security settings en die naast de andere APP op een groep gebruikers kan toepassen? Zit nu https://docs.microsoft.co...ame-set-of-apps-and-users te lezen en lijkt er op dat dit wel degelijk kan. Dat zou geweldig zijn, dan hoef ik maar één (twee, want voor iOS en Android) policy te maken met deze aanvullende settings.

Anyway, ik ga er even mee experimenteren.

Exchange en Office 365 specialist. Mijn blog.


  • albert04
  • Registratie: februari 2004
  • Laatst online: 26-01 17:21
nvm...

[Voor 96% gewijzigd door albert04 op 03-11-2021 14:19]


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Wednesday 3 November 2021 @ 14:18:
Haha, en dat is dus precies wat ik aan het doen ben. :) Sorry voor de spraakverwarring eerder. Vroeg me af of iemand tips of praktijkervaring hiermee heeft. Klopt het bijvoorbeeld dat ik niet één extra APP kan maken met alleen de app security settings en die naast de andere APP op een groep gebruikers kan toepassen? Zit nu https://docs.microsoft.co...ame-set-of-apps-and-users te lezen en lijkt er op dat dit wel degelijk kan. Dat zou geweldig zijn, dan hoef ik maar één (twee, want voor iOS en Android) policy te maken met deze aanvullende settings.

Anyway, ik ga er even mee experimenteren.
Geen probleem, vond het al vreemd dat het niet zou kunnen. 😎 succes met testen.

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 13:57:
Wat probeer je nu te bereiken dan met de apps, want volgens mij haal jij zaken door elkaar? :?
Ik kan het niet duidelijker uitleggen. :) We hebben nu een Exchange ActiveSync policy met 8 geconfigureerde settings. Outlook Mobile ondersteunt maar een klein aantal van die settings, dat staat in dat artikel. Daarom stap ik nu over van de EAS policy naar een Intune APP policy die alle 8 settings lijkt te ondersteunen.

Alleen zijn er een aantal verschillen:
- EAS policies managen toegang tot het device
- APP policies managen toegang tot de app
- Op een mailbox kun je één EAS policy zetten
- Je hebt minimaal twee APP nodig, één voor elk platform/OS

Dan heb ik een aantal vragen over de user experience. Stel je een iOS gebruiker voor die ondanks de huidige EAS policy een pin van vier cijfers in heeft kunnen stellen op zijn device. Nu voeg ik een APP toe die een 6-cijferige pin vereist voor toegang tot de Outlook app. Moet die nu een tweede PIN instellen? Hoe ziet dat er uit in de praktijk, is het duidelijk of er om de device of de app pin gevraagd wordt?

Maar zoals ik zei, heb alles klaar staan in de test tenant en een geresette iPhone 7 voor me liggen. Ga er stapje voor stapje mee experimenteren en beschrijven wat het effect is.

Zoals je leest ben ik een beetje buiten mijn comfort zone hier en moet ik iets ontwerpen wat gaat werken voor heul veul collega's. :)

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Wednesday 3 November 2021 @ 14:29:
[...]

Ik kan het niet duidelijker uitleggen. :) We hebben nu een Exchange ActiveSync policy met 8 geconfigureerde settings. Outlook Mobile ondersteunt maar een klein aantal van die settings, dat staat in dat artikel. Daarom stap ik nu over van de EAS policy naar een Intune APP policy die alle 8 settings lijkt te ondersteunen.

Alleen zijn er een aantal verschillen:
- EAS policies managen toegang tot het device
- APP policies managen toegang tot de app
- Op een mailbox kun je één EAS policy zetten
- Je hebt minimaal twee APP nodig, één voor elk platform/OS

Dan heb ik een aantal vragen over de user experience. Stel je een iOS gebruiker voor die ondanks de huidige EAS policy een pin van vier cijfers in heeft kunnen stellen op zijn device. Nu voeg ik een APP toe die een 6-cijferige pin vereist voor toegang tot de Outlook app. Moet die nu een tweede PIN instellen? Hoe ziet dat er uit in de praktijk, is het duidelijk of er om de device of de app pin gevraagd wordt?

Maar zoals ik zei, heb alles klaar staan in de test tenant en een geresette iPhone 7 voor me liggen. Ga er stapje voor stapje mee experimenteren en beschrijven wat het effect is.

Zoals je leest ben ik een beetje buiten mijn comfort zone hier en moet ik iets ontwerpen wat gaat werken voor heul veul collega's. :)
Ik heb geen ervaring met EAS policies. Dus ik kan je niet vertellen wat dit zo 123 gaat betekenen. Wat ik wel weet is dat je bij het instellen van de APP (als je de eerste keer inlogd in Outlook) je een melding ziet dat de data in die app wordt beveiligd door middel van een APP en dat je dus (indien gewenst) een PIN moet instellen om toegang te krijgen.

Het is allemaal niet heel ingewikkeld, ik zou persoonlijk zeggen configureer een policy en kijk wat hij doet voor je test user. Gewoon een APP aanmaken en toewijzen aan de user group waar je test user in zit. Kan weinig mis gaan. Zorg wel even dat je vervolgens ook de EAS policy voor je kiezen krijgt, dan kun je ook precies zien wat de ervaring gaat zijn.

Begrijp ik het goed dat jullie geen Endpoint Manager mannetje hebben? Jij doet dat 'ernaast'? Of krijg jij dit toebedeelt omdat je ook Exchange doet? :9

[Voor 3% gewijzigd door TheVMaster op 03-11-2021 14:44]


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

@Jazzy Waarom wil je de PIN resetten na 90 dagen?
Dat is best een "oude gedachte"
Microsoft zelf is helemaal afgestapt van PW en PIN changes. Het biedt niet meer veiligheid. Devices die verloren/gestolen zijn, moet je gewoon wipen, maar een PIN cycle levert je geen extra veiligheid op.

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 14:44:
Begrijp ik het goed dat jullie geen Endpoint Manager mannetje hebben? Jij doet dat 'ernaast'? Of krijg jij dit toebedeelt omdat je ook Exchange doet? :9
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.
Hann1BaL schreef op woensdag 3 november 2021 @ 16:52:
@Jazzy Waarom wil je de PIN resetten na 90 dagen?
Dat is best een "oude gedachte"
Microsoft zelf is helemaal afgestapt van PW en PIN changes. Het biedt niet meer veiligheid. Devices die verloren/gestolen zijn, moet je gewoon wipen, maar een PIN cycle levert je geen extra veiligheid op.
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.

Exchange en Office 365 specialist. Mijn blog.


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

Jazzy schreef op woensdag 3 november 2021 @ 16:56:
[...]
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.

[...]
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.
Ik werk ook niet bij InfoSec, maar ik praat wel tegen ze en vraag ze waarom. :)

Waarom niet gewoon via Conditional Access afdwingen dat devices Intune compliant moeten zijn en daar de security settings afdwingen op device niveau? Dat is toch eenvoudiger?

[Voor 15% gewijzigd door Hann1BaL op 03-11-2021 16:59]


  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

Hann1BaL schreef op woensdag 3 november 2021 @ 16:59:
[...]

Ik werk ook niet bij InfoSec, maar ik praat wel tegen ze en vraag ze waarom. :)
Kan me voorstellen dat mijn antwoord overkomt als desinteresse, maar neem van mij aan dat dit ter discussie stellen op dit moment niet aan de orde is.
Waarom niet gewoon via Conditional Access afdwingen dat devices Intune compliant moeten zijn en daar de security settings afdwingen op device niveau? Dat is toch eenvoudiger?
Interessant, bedankt voor de suggestie. Ben me aan het inlezen.
Ah, dat gaat niet. Dan moeten de devices enrolled zijn, wij zijn BYOD dus kan alleen de apps managen.

[Voor 8% gewijzigd door Jazzy op 03-11-2021 17:19]

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Wednesday 3 November 2021 @ 17:13:
[...]

Kan me voorstellen dat mijn antwoord overkomt als desinteresse, maar neem van mij aan dat dit ter discussie stellen op dit moment niet aan de orde is.

[...]
Interessant, bedankt voor de suggestie. Ben me aan het inlezen.
Ah, dat gaat niet. Dan moeten de devices enrolled zijn, wij zijn BYOD dus kan alleen de apps managen.
Je kunt ook afdwingen dat er een App Protection Policy van toepassing is, dat zou volgens mij een oplossing kunnen zijn (heb dat zo niet getest, maar ik weet dat die optie er tegenwoordig in zit).

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

Ik vind het een rare conclusie dat BYOD niet device enrollments mag zijn. Je hoeft de devices niet te wipen. :) Maar goed, is vast een policy

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

Hann1BaL schreef op woensdag 3 november 2021 @ 18:27:
Ik vind het een rare conclusie dat BYOD niet device enrollments mag zijn. Je hoeft de devices niet te wipen. :) Maar goed, is vast een policy
Met BYOD bedoel ik onze Intune enrollment optie, om aan te geven dat de devices niet managed zijn.

Exchange en Office 365 specialist. Mijn blog.


  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 21:16

Jazzy

Moderator SWS/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 18:15:
[...]


Je kunt ook afdwingen dat er een App Protection Policy van toepassing is, dat zou volgens mij een oplossing kunnen zijn (heb dat zo niet getest, maar ik weet dat die optie er tegenwoordig in zit).
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?

Exchange en Office 365 specialist. Mijn blog.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 08:36
Jazzy schreef op Wednesday 3 November 2021 @ 19:50:
[...]
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?
Dat is natuurlijk waar, maar dan moet die betreffende app wel een APP hebben natuurlijk. Je zou dat met CA dus kunnen afdwingen :+ Hier vindt je een lijstje met de apps die daarvoor worden ondersteund (het linkje naast dat checkboxje) : https://docs.microsoft.co...ire-app-protection-policy

[Voor 13% gewijzigd door TheVMaster op 04-11-2021 09:43]


  • RPHN
  • Registratie: maart 2014
  • Laatst online: 24-01 10:16
Iemand enig idee hoe deze gevuld kan worden?



Devices zijn onboarded in Defender ATP met een onboard package pushed via een Configuration Profile.

  • kowlier
  • Registratie: juni 2012
  • Nu online
moet je daarvoor niet kijken in de security portal ipv intune?
security.microsoft.com en dan onder endpoints -> device inventory?

PSN - ps4 : sir_kowlier


  • RPHN
  • Registratie: maart 2014
  • Laatst online: 24-01 10:16
kowlier schreef op donderdag 4 november 2021 @ 15:33:
moet je daarvoor niet kijken in de security portal ipv intune?
security.microsoft.com en dan onder endpoints -> device inventory?
En dan? Ze staan daar inderdaad, maar die cirkel vult zich niet met devices...

  • kowlier
  • Registratie: juni 2012
  • Nu online
hoe zijn je devices geregistreerd in intune?
mijn cirkel is ook maar gevuld met de devices die puur in intune geregistreerd zijn.
onze devices die via SCCM hybride geregistreerd staan komen daar ook niet in.

PSN - ps4 : sir_kowlier


  • RPHN
  • Registratie: maart 2014
  • Laatst online: 24-01 10:16
Devices zijn via Autopilot enrolled en managed by Intune

https://tweakers.net/i/TZrZ1lkYYA_wVLt-AVcf5MgknWI=/800x/filters:strip_exif()/f/image/Ql1OrLdJ0vRGT8zBODd8nx3b.png?f=fotoalbum_large

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@nextware Omdat je schreef het juist buiten het eigen netwerk uit te rollen, heb ik een testlaptop naar huis meegenomen.

Bij de 2e log in krijg ik nu de foutmelding dat het netwerk niet kan vinden ("Ik kan geen DC bereiken") ;
Nog suggesties in deze?

Hold. Step. Move. There will always be a way to keep on moving


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
D_Jeff schreef op zondag 7 november 2021 @ 14:59:
@nextware Omdat je schreef het juist buiten het eigen netwerk uit te rollen, heb ik een testlaptop naar huis meegenomen.

Bij de 2e log in krijg ik nu de foutmelding dat het netwerk niet kan vinden ("Ik kan geen DC bereiken") ;
Nog suggesties in deze?
Je rolt toch uit op een Hybrid omgeving ?
Heb je wel verbinding naar je domein ? Dus een VPN of iets in die trend ?

Even voor mijn beeldvorming: die 2e login is de login voor de user ESP ? Dus waarin de user gebaseerde zaken worden ingesteld (En dus ook dat "joining your....).

  • D_Jeff
  • Registratie: april 2011
  • Nu online
nextware schreef op zondag 7 november 2021 @ 17:15:
[...]


Je rolt toch uit op een Hybrid omgeving ?
Heb je wel verbinding naar je domein ? Dus een VPN of iets in die trend ?

Even voor mijn beeldvorming: die 2e login is de login voor de user ESP ? Dus waarin de user gebaseerde zaken worden ingesteld (En dus ook dat "joining your....).
- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is

Hold. Step. Move. There will always be a way to keep on moving


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
Op dat punt heb je inderdaad dus wel een verbinding met je domein nodig. Als je dus remote wil inspoelen heb je dus wel een VPN nodig naar je domein 😉
Een device tunnel is in dit geval voldoende.

[Voor 13% gewijzigd door nextware op 07-11-2021 21:52]


  • D_Jeff
  • Registratie: april 2011
  • Nu online
@nextware Hoe hebben jullie de AD Sync naar 10 minuten kunnen verlagen?
Want als ik hier kijk: https://docs.microsoft.co...ct-sync-feature-scheduler

Wordt er aangegeven dat de lager dan de default waarde van 30 mins gewoon genegeerd wordt.


Testrondje is nu wel succesvol (na 2x een Windows AD -> AzureAD sync) te moeten wachten. Als dit korter kan, dat is alleen maar winst.

Hold. Step. Move. There will always be a way to keep on moving


  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff Zoals in dat artikel aangehaald kun je ook een sync forceren middels powershell en je eigen custom scheduler maken met bijvoorbeeld een scheduled task+powershell. Bijvoorbeeld:

powershell.exe -Command Import-Module MSOnline ; Start-ADSyncSyncCycle -PolicyType Delta

Of je dat moet willen is een 2e maar ik trap ook wel eens de sync af als ik net een On-Premise object heb aangepast en niet wil wachten tot de volgende sync. Dat is echter meer een on-demand situatie dan dat ik een aangepaste schedule heb lopen. Want wat is op een gegeven moment snel genoeg? Elke 10 minuten? elke 5? Elke minuut?

  • D_Jeff
  • Registratie: april 2011
  • Nu online
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.

-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook


Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten :+ )

Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest

[Voor 9% gewijzigd door D_Jeff op 08-11-2021 19:42]

Hold. Step. Move. There will always be a way to keep on moving


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

Enterprise blijft volgens mij ook op no staan by hybrid join, met een een AzureAdPRT heb je je SSO.

  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
D_Jeff schreef op maandag 8 november 2021 @ 19:32:
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.
Dat klopt. In de laatste stap van fase 2 worden er machines based apps en scripts geïnstalleerd. In stap 3 worden de userbased apps geïnstalleerd.
-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook
Dat klopt. EnterpriseJoined moet op NO staan. Je moet bij AzureADJoined en AzureAdPrt een YES hebben staan.
Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten :+ )
Goed gedaan :)
Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest
Zoals ik al eerder in dit topic aangekaart lopen wij tegen dezelfde uitdaging aan. Als het aan mij had gelegen waren we al lang en breed Full AzureAD joined.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@nextware
Even een update vanaf mijn kant: Ik heb inmiddels een succesvolle test gehad.
Dat script werkt prima en scheelt een behoorlijke hoeveelheid aan wachttijd.

Na inmiddels goed verder gezocht te hebben, heb ik ook m'n antwoord gevonden voor "AzureAdPr" - token:
Zodra de Autopilot Fase 3 afgerond heeft (en dus de achtergrond / desktop laat zien) -> Uitloggen en opnieuw aanmelden. Deze actie triggert onderwater een proces om het AzureAdPr-token te verkrijgen.
Ook dit heb ik succesvol getest (voor het uitloggen: AzureAdPr = NO ; na het uitloggen: AzureAdPr = Yes + time stamps)

Dank voor de hulp 8-)
Ik heb nu een prima basis om verder te gaan (inclusief het laten aanpassen van allerlei GPO's)

Hold. Step. Move. There will always be a way to keep on moving


  • D_Jeff
  • Registratie: april 2011
  • Nu online
Ik dacht: Elke driver legt wel ergens netjes vast wat ie doet.
PLCv5 en PLCv6 van Ricoh zijn een ander koekje: Niet als key te vinden op de gebruikelijke locatie /print/printers (regedit)

Van de grotere installer weet ik de nodige parameters niet (en vraagt iets teveel GUI info om het leuk te houden voor /qn ) -- Iemand nog een suggestie voor de uitrol van een algemene PLCv6 driver via Intune zonder adminrechten op het device van de eindgebruiker?

(Ja, ik heb een blog gezien om ps1-scripts om te laten zetten naar een exe -- vond de virusscanner minder grappig)

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op donderdag 25 november 2021 @ 22:33:
Ik dacht: Elke driver legt wel ergens netjes vast wat ie doet.
PLCv5 en PLCv6 van Ricoh zijn een ander koekje: Niet als key te vinden op de gebruikelijke locatie /print/printers (regedit)

Van de grotere installer weet ik de nodige parameters niet (en vraagt iets teveel GUI info om het leuk te houden voor /qn ) -- Iemand nog een suggestie voor de uitrol van een algemene PLCv6 driver via Intune zonder adminrechten op het device van de eindgebruiker?

(Ja, ik heb een blog gezien om ps1-scripts om te laten zetten naar een exe -- vond de virusscanner minder grappig)
Kan je daar de Universal Print printer provisioning tool niet voor gebruiken?

https://docs.microsoft.co...iversal-print-intune-tool

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • D_Jeff
  • Registratie: april 2011
  • Nu online
@HKLM_ Helaas gaat er een systeem tussen zitten: Ricoh / Canon FollowYou

En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op vrijdag 26 november 2021 @ 09:53:
@HKLM_ Helaas gaat er een systeem tussen zitten: Ricoh / Canon FollowYou

En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen
Maar dat maakt voor de driver / connectie toch niet uit? In het classic geval is een FolkowYou / Me systeem toch een virtuele printer op de print server en meer niet. Wat is er nu dan zo speciaal? :)

Direct naar de printer printen is toch iets wat je moet willen ze hebben niet voor niks Branch Office Direct Printing :+ Eerst alles naar de print server sturen is normaal niet nodig.

[Voor 15% gewijzigd door HKLM_ op 26-11-2021 09:59]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • akimosan
  • Registratie: augustus 2003
  • Niet online
Probleem is dat voor de klassieke follow-me van Ricoh je wel een opdracht naar een shared printer op de printserver moet sturen omdat de (hebben we het hier over Equitrac?) printserver software een geautoriseerde opdracht moet hebben in de queue zodat hij weet

* wie de opdracht stuurt
* om hoeveel pagina's het gaat
* of het een kleurenafdruk of zwart wit betreft
* etc.

Dat zijn allemaal zaken die de afdruksoftware registreert en koppelt aan een gebruikersdatabase zodat ook zaken als verbruik en verrekening met eventuele costcenters kunnen worden gedaan.
Maar natuurlijk zeker zodat bekend is wie de opdracht stuurt zodat enkel DIE gebruiker vervolgens naar de printer gaat, zijn pas aanbiedt (of inlogt via control panel op de printer) en vervolgens zijn opdracht kan "ophalen" , dat is hoe die follow-me oplossing werkt.

De driver installatie is (an sich) het probleem niet, het toevoegen van een printer connection naar de shared printer wel.

En met de fixes voor PrinterNightMare die MS heeft doorgevoerd kunnen gewone gebruikers niet meer zonder admin rechten een shared printer toevoegen:

KB5005652—Manage new Point and Print default driver installation behavior (CV...

Bij mijn werkgever maken we ook gebruik van de Equitrac Follow-me oplossing en zouden we dit voor reguliere eindgebruikers enkel kunnen oplossen door de vermelde registry wijziging door te voeren en mitigations op de printserver toe te passen (enkel trusted printservers toestaan)
Die mitigations beschermen je echter niet volledig tegen de exploit. Daarom is er voor nu gekozen om printing naar de follow-me voor de Azure AD joined devices niet toe te staan (men kan afdrukken via onze Citrix omgeving)
Er wordt gekeken naar een cloud print management oplossing ter vervanging van de huidige Equitrac oplossing, details hierover zijn me nog niet bekend.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
A dat is wel balen inderdaad

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • DJ-B
  • Registratie: september 2001
  • Laatst online: 26-01 20:54
D_Jeff schreef op zondag 7 november 2021 @ 17:56:
[...]


- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is
Misschien is het mosterd na de maaltijd. Maar ik zie dat je een Hybrid Join uitvoert.
Om problemen met Azure PRT te voorkomen dien je de User Status Page op ESP uit te schakelen.

./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage,true --> Assign aan Device groep.

Zie ook:
https://joymalya.com/auto...d-join-reworked-with-joy/

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@DJ-B Dit heb ik een aantal keer getest zonder het uit te zetten (policies staan wel gereed mocht het echt te vervelend worden). Het enige dat een hikje heeft, is Onedrive.

Zodra ik later Onedrive alsnog aanmeld, zie dat ik het alsnog goed gaat.
---

Toch bedankt voor het meedenken !

Hold. Step. Move. There will always be a way to keep on moving


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Beetje offtopic wel, maar als je zoekt naar follow-me print oplossing, kijk ook zeker naar Uniflow. Qua licenties transparanter en doorgaans goedkoper en vind ik beter werken dan Papercut. (Papercut heeft wel ondersteuning voor meer type printers, al is dat niet helemaal zo zwart-wit, want wat zou moeten werken, werkt niet altijd. :)

  • D_Jeff
  • Registratie: april 2011
  • Nu online
Bitlocker blijft momenteel mijn 'tripwire':

De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.

Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.

Iemand nog suggesties?

Hold. Step. Move. There will always be a way to keep on moving


  • ptjuh
  • Registratie: november 2005
  • Laatst online: 26-01 15:54

ptjuh

New day, same old shit

D_Jeff schreef op vrijdag 17 december 2021 @ 11:06:
Bitlocker blijft momenteel mijn 'tripwire':

De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.

Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.

Iemand nog suggesties?
ook al gekeken naar Endpoint Security - > Disk encryption?

Its all in the little things that people do..


  • jeroentjeh
  • Registratie: oktober 2005
  • Laatst online: 08:49
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :


  • xven0mxz
  • Registratie: december 2009
  • Laatst online: 23:56

xven0mxz

Feyenoord Rotterdam 1908!

jeroentjeh schreef op vrijdag 17 december 2021 @ 14:25:
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :

[Afbeelding]
Precies zo hebben wij hem ook bij al onze klanten staan. Nooit geen issues mee gehad.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@jeroentjeh Dank voor het screenshot.
Blokkeert dit profiel ook alternatieve aanmeldingen? (Windows Hello PIN / Vingerafdrukscanner /Face/ enz)

Hold. Step. Move. There will always be a way to keep on moving


  • jeroentjeh
  • Registratie: oktober 2005
  • Laatst online: 08:49
D_Jeff schreef op vrijdag 17 december 2021 @ 15:20:
@jeroentjeh Dank voor het screenshot.
Blokkeert dit profiel ook alternatieve aanmeldingen? (Windows Hello PIN / Vingerafdrukscanner /Face/ enz)
Dit Bitlocker profiel blokkeert het gebruik van een PIN of startup key in combinatie met eventueel een TPM chip voordat Windows start.

Windows Hello kun je apart aan of uit zetten onder Devices > Windows enrollment > Windows Hello for Business.

[Voor 6% gewijzigd door jeroentjeh op 17-12-2021 16:17]


  • panomi
  • Registratie: augustus 2009
  • Laatst online: 23-01 16:42
Ik ben op een VM Windows 11 aan het testen voor een mogelijke volgende uitrol (toekomst).

Ik heb binnen Intune een test user aangemaakt, in aparte groep geplaatst enz. en toegevoegd voor het meenemen binnen profielen en andere applicatie configuraties. Eigenlijk hetzelfde als de reeds functionerende inrichting.

Als ik de VM start kom ik netjes bi het aanmeldscherm voor de organisatie. Echter bij fase 2 slaat het systeem de installatie van apps over. Net als of hij bij het indexeren geen apps kan vinden en dus niet installeert. Alles nagelopen maar kan het niet vinden. Groepslidmaatschap staat bij diverse apps juist ingevuld.

Iemand een idee?

Edit
Op een of andere manier na een keer opnieuw opstarten van de VM zijn de apps wel geïnstalleerd.
Mogelijk een GUI bug.

[Voor 19% gewijzigd door panomi op 08-01-2022 15:44]

Hebben meer mensen de ervaring dat het pushen van MSI files vanuit Intune niet lekker loopt via line-of-business en die wil niet installeren.

Maak ik er een Windows App (32) package van via de tool en de MSI met de .intunewin extentie staat die na het pushen er zeer snel zonder issues op. Iemand een idee waar dat aan kan liggen? Ik gebruik namelijk dezelfde silent parameters :/

[Voor 8% gewijzigd door HKLM_ op 11-01-2022 20:05]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • D_Jeff
  • Registratie: april 2011
  • Nu online
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 20:32:
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?
1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.

[Voor 3% gewijzigd door HKLM_ op 11-01-2022 20:42]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • D_Jeff
  • Registratie: april 2011
  • Nu online
HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:


De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"

[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 20:52:
[...]


/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet

De enigste parameter die je nog wil meegeven is /q
Mmmmm oké :P maar dit commando maakt Intune er zelf van hoor >:)
Plaatje is van de Intune package. Ik zal morgen dan eens een MSI package maken zonder de i



Edit a thx ik gaf het commando op zal het eens met alleen /q proberen thx :)

[Voor 4% gewijzigd door HKLM_ op 11-01-2022 21:02]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • D_Jeff
  • Registratie: april 2011
  • Nu online
MSI installers zijn de fijnste installers voor gebruik met Intune:
MSI uploaden, optioneel /q meegeven, toewijzen doen en klaar.

Daarom zat ik mij al af te vragen waarom je zo moeilijk deed :+

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 21:09:
MSI installers zijn de fijnste installers voor gebruik met Intune:
MSI uploaden, optioneel /q meegeven, toewijzen doen en klaar.

Daarom zat ik mij al af te vragen waarom je zo moeilijk deed :+
Haha ja ik ook :P is gelukkig ook geen productie maar lekker voor thuis :9

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • Le Enfant!
  • Registratie: juli 2012
  • Laatst online: 26-01 20:41
Ik heb hier een vreemd issue met enkele devices die op geen enkele manier updates binnen kunnen halen.
Ik zie volgende foutmeldingen in zowel de ScanAgent.log als de WUAHander.log
ScanAgent.log

WUAHandler.log


Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent ‘Scan retry Pending’
Error 0x80244007 betekent “Same as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.”

Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.

Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt

SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.

Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.

Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
HKLM_ schreef op woensdag 26 januari 2022 @ 07:15:
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 23:19

Hann1BaL

Do you stay for dinner?Clarice

nextware schreef op woensdag 26 januari 2022 @ 07:43:
[...]


Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Vandaag ben ik er niet aantoe gekomen. Had nog wat issues met de auto MDM join policy i.c.m onze hybrid join :/ Maar goed dat is nu opgelost! Ik hoop het morgen of vrijdag te kunnen testen dank beide.

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • nextware
  • Registratie: mei 2002
  • Laatst online: 26-01 19:54
Hann1BaL schreef op woensdag 26 januari 2022 @ 15:08:
[...]


Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Daarom zeg ik ook " ik vermoed" ;)
Ik heb zelf niet in deze situatie gezeten, dus ik kan niet uit ervaring praten.
Pagina: 1 2 Laatste


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee