Toon posts:

Microsoft Intune ervaringen topic

Pagina: 1 2 3 Laatste
Acties:

Onderwerpen


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op Tuesday 8 February 2022 @ 15:47:
[...]


Kleine 500 :P AutoPilot en de Hybride AD join ben ik nu mee bezig en zit in de scope :) Software distribueer doen we nu via GPO inderdaad.

Had al een GPO analyse gedaan in Intune en bijna alles kan over :+ (is niet heel spannen)
Ach, beter laat dan nooit he. En kun je ook zonder de Hybrid AD join, dus native AAD of heb je legacy stuff wat dan kapot gaat?

Als je dan Autopilot gaat doen, neem aan dat je dan gelijk Intune mee gaat nemen? Waarom zou je alleen Autopilot gaan doen en dan niet direct inzetten op Intune managed? O-)

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op dinsdag 8 februari 2022 @ 15:48:
[...]


Ach, beter laat dan nooit he. En kun je ook zonder de Hybrid AD join, dus native AAD of heb je legacy stuff wat dan kapot gaat?

Als je dan Autopilot gaat doen, neem aan dat je dan gelijk Intune mee gaat nemen? Waarom zou je alleen Autopilot gaan doen en dan niet direct inzetten op Intune managed? O-)
Ja klopt wil full Intune gaan :)

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op Tuesday 8 February 2022 @ 15:54:
[...]


Ja klopt wil full Intune gaan :)
Dat is altijd fijn O-) in het Endpoint Manager topic.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
Iemand ervaring met de Machine Risk Score compliance policy vanuit Windows Defender for Endpoint.
Ik heb mijn machine toegevoegd en zie deze terug in Defender en de sensor is geinstalleerd alleen mijn device is als Not Compliant gemarkeerd wegens de Machine Risk Score.

De Compliance policy heb ik op High staan en mijn machine is volledig up-to-date, firewall aan etc iemand een idee waar dit in kan zitten?

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
@asing shout voor HKLM

Hold. Step. Move. There will always be a way to keep on moving


  • asing
  • Registratie: Oktober 2001
  • Laatst online: 12:22
Je weet dat ik ergens juni 2020 8) voor het laatst in de buurt van een SCCM server ben geweest?

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • asing
  • Registratie: Oktober 2001
  • Laatst online: 12:22
HKLM_ schreef op donderdag 17 februari 2022 @ 19:53:
Iemand ervaring met de Machine Risk Score compliance policy vanuit Windows Defender for Endpoint.
Ik heb mijn machine toegevoegd en zie deze terug in Defender en de sensor is geinstalleerd alleen mijn device is als Not Compliant gemarkeerd wegens de Machine Risk Score.

De Compliance policy heb ik op High staan en mijn machine is volledig up-to-date, firewall aan etc iemand een idee waar dit in kan zitten?
Kan je "doorklikken"? Of van high naar medium zetten om te zien of je dan ineens wel een groen vinkje krijgt?

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
asing schreef op donderdag 17 februari 2022 @ 22:50:
[...]


Kan je "doorklikken"? Of van high naar medium zetten om te zien of je dan ineens wel een groen vinkje krijgt?
Wat bedoel je met doorklikken? Als ik in Intune op mijn device klik zie ik staan Not Compliant



Als ik daar vervolgens op klik dan krijg ik dit



Misschien komt het ook hier door :P

https://tweakers.net/i/_v84-A_s2GHNoCRtaP3_WgEYPpQ=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/oYopipbbLnZJ6VIE0Z0ZcZ0j.png?f=user_large

Alleen die Compliance policy bestaat dus wel



Als ik in security.microsoft.com kijk zie ik mijn device daar ook terug met de status Active en een Test Alert via Powershell wordt ook netjes geregistreerd.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • asing
  • Registratie: Oktober 2001
  • Laatst online: 12:22
@HKLM_ Zo te zien is het nog niet helemaal klaar.

setup : https://docs.microsoft.co...ccess?view=o365-worldwide

Dit kan ook helpen : https://techcommunity.mic...se-of-missing/m-p/2959028

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
Misschien dus toch de Conditional Access policy daar had ik gisteravond mee zitten spelen maar misschien was ik te snel thx ga vanavond / van het weekend weer eens kijken.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


Acties:
  • +5Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
Goed, 3 verschillende machines, 1 account
En slechts 1 machine is succesvol "enrolled"

Machine 1:
Lenovo Thinkpad T480s || status: succes

Machine 2:
HP EliteDesk 800 G1 || status: Something went wrong, 80007002 (task failed to schedule)

Machine 3:
Surface Pro 7 || status: <zie HP>

Dsregcmd /debug /join laat de error zien "failed task to schedule"
Het feit dat de Thinkpad wel doorgaat en de andere 2 niet is like: wtf

Volgorde van uitproberen:
1) Surface pro 2) HP 3) Thinkpad

Nevermind:
Collega opent net (na een duvelse lach) een conditional access policy met een filter op Lenovo.
zucht :p

[Voor 10% gewijzigd door D_Jeff op 15-04-2022 14:51]

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +1Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
D_Jeff schreef op vrijdag 15 april 2022 @ 14:16:
Goed, 3 verschillende machines, 1 account
En slechts 1 machine is succesvol "enrolled"

Machine 1:
Lenovo Thinkpad T480s || status: succes

Machine 2:
HP EliteDesk 800 G1 || status: Something went wrong, 80007002 (task failed to schedule)

Machine 3:
Surface Pro 7 || status: <zie HP>

Dsregcmd /debug /join laat de error zien "failed task to schedule"
Het feit dat de Thinkpad wel doorgaat en de andere 2 niet is like: wtf

Volgorde van uitproberen:
1) Surface pro 2) HP 3) Thinkpad

Nevermind:
Collega opent net (na een duvelse lach) een conditional access policy met een filter op Lenovo.
zucht :p
Wat een nare collega. :P

  • _Dune_
  • Registratie: September 2003
  • Laatst online: 11:11

_Dune_

Moderator Harde Waren

RAID is geen BACKUP

Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.

Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuรซren naar de laptops?

Sinds 1999@Tweakers | Bij IT-ers gaat alles automatisch, maar niets vanzelf. | https://www.go-euc.com/


Acties:
  • +2Henk 'm!

  • akimosan
  • Registratie: Augustus 2003
  • Niet online
Je kunt ADMX templates gebruiken in Configuration Profiles:
https://www.nielskok.tech...configuration-via-intune/

Acties:
  • +1Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
_Dune_ schreef op vrijdag 29 april 2022 @ 16:57:
Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.

Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuรซren naar de laptops?
Weet jij zo welke GPO dat is, dan kan ik wel even kijken of ik die erin kan krijgen hier :+ Volgens mij is dat deze policy :+

[Voor 13% gewijzigd door TheVMaster op 29-04-2022 17:13]


Acties:
  • +2Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
Dat is achterhaald :+ Je kunt ze nu gewoon importeren : https://docs.microsoft.co...-policy-analytics-migrate

[Voor 18% gewijzigd door TheVMaster op 29-04-2022 17:05]


Acties:
  • +1Henk 'm!

  • _Dune_
  • Registratie: September 2003
  • Laatst online: 11:11

_Dune_

Moderator Harde Waren

RAID is geen BACKUP

Dank heren, mooi toch hoe snel je hier altijd weer een antwoord hebt. :D

Sinds 1999@Tweakers | Bij IT-ers gaat alles automatisch, maar niets vanzelf. | https://www.go-euc.com/


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
_Dune_ schreef op vrijdag 29 april 2022 @ 17:15:
Dank heren, mooi toch hoe snel je hier altijd weer een antwoord hebt. :D
Ik had de MEM portal open staan (kom net uit een workshop met een klant), dus kon het direct even voor je opzoeken. Daarnaast adem ik bijna Endpoint Manager de laatste maanden. :P

[Voor 9% gewijzigd door TheVMaster op 29-04-2022 17:16]


Acties:
  • +1Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
Die migrate policy werkt als een tier :) afgelopen week bijna al onze on-prem naar intune kunnen moven in 10 minuten :P

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


Acties:
  • +1Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op vrijdag 29 april 2022 @ 17:47:
[...]


Die migrate policy werkt als een tier :) afgelopen week bijna al onze on-prem naar intune kunnen moven in 10 minuten :P
Jij moet nog migreren dan? ๐Ÿ˜ฌ Hier pushen we niet heel veel policies en wat er komt, is 100% Intune.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op vrijdag 29 april 2022 @ 18:00:
[...]


Jij moet nog migreren dan? ๐Ÿ˜ฌ Hier pushen we niet heel veel policies en wat er komt, is 100% Intune.
Ja wij hebben nog hybrideโ€ฆโ€ฆโ€ฆโ€ฆโ€ฆโ€ฆ. Hopelijk wel het laatste jaar.

[Voor 5% gewijzigd door HKLM_ op 29-04-2022 18:57]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op vrijdag 29 april 2022 @ 18:57:
[...]


Ja wij hebben nog hybrideโ€ฆโ€ฆโ€ฆโ€ฆโ€ฆโ€ฆ. Hopelijk wel het laatste jaar.
Alles is nog hybride? Dus ook nieuw geรฏnstalleerde machines? Why? Die kun je toch gewoon AAD only uitrollen? :-)

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op vrijdag 29 april 2022 @ 20:11:
[...]


Alles is nog hybride? Dus ook nieuw geรฏnstalleerde machines? Why? Die kun je toch gewoon AAD only uitrollen? :-)
We hebben deze (discussie) al een keer gevoerd :+
Iets met tijd :P en oude meuk waardoor ik een hybride nodig heb :r

[Voor 5% gewijzigd door HKLM_ op 29-04-2022 20:25]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


Acties:
  • +1Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op vrijdag 29 april 2022 @ 20:21:
[...]


We hebben deze (discussie) al een keer gevoerd :+
Iets met tijd :P en oude meuk waardoor ik een hybride nodig heb :r
Sorry, ik val soms wat in herhaling O-) iets met leeftijd denk ik.

Acties:
  • +2Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
HKLM_ schreef op vrijdag 29 april 2022 @ 20:21:
[...]


We hebben deze (discussie) al een keer gevoerd :+
Iets met tijd :P en oude meuk waardoor ik een hybride nodig heb :r
Been there, got the :9B

Zelfs zoiets Exact is zo old skool, dat het alleen Windows NTML-auth grappig vind voor SSO :X

Hold. Step. Move. There will always be a way to keep on moving


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
D_Jeff schreef op vrijdag 29 april 2022 @ 21:43:
[...]


Been there, got the :9B

Zelfs zoiets Exact is zo old skool, dat het alleen Windows NTML-auth grappig vind voor SSO :X
Oefff, Ik ben zo blij dat ik in de โ€˜moderneโ€™ wereld leef en eigenlijk alleen maar klanten mag helpen om ook die move te maken. De laatste keer dat ik werk-gerelateerd met een on-prem omgeving te maken heb gehad (om daar dus zaken te deployed/managen) is ehโ€ฆmeer dan 6-7 jaar geleden denk ik :9

Maar goed, de rest van de wereld is nog niet zo ver, helaas.

Acties:
  • +1Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
@TheVMaster Dat is ook part of mijn job (ook bij verschillende opdrachtgevers) :)

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +2Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
D_Jeff schreef op vrijdag 29 april 2022 @ 22:23:
@TheVMaster Dat is ook part of mijn job (ook bij verschillende opdrachtgevers) :)
Wat hebben wij toch een fijne job >:)

Acties:
  • +1Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
Ik krijg het verzoek om Intune policies te documenteren. Nu kun je natuurlijk vrij eenvoudig (met behulp van de Intune Powershell voorbeelden vanuit Microsoft) een export maken van alle policies, maar daarmee heb je ze nog niet in een document (of Excel sheet) zitten.

Nu kwam ik deze 'tool' tegen van Thomas Kur op Github. Is iemand hier bekend mee? Je krijgt dan uiteindelijk een Word document met daarin alle policies in een mooi overzicht.

  • technoaddict
  • Registratie: Juni 2006
  • Laatst online: 12:26
Vraagje aan de Intune beheerders. Intune is een klein stukje van mijn werkzaamheden dus niet heel veel ervaring mee.
Een klant van ons gebruikt Always on VPN op hun endpoints en het AOVPN profiel wordt met Intune gepusht. Ik moest een kleine wijziging in de NRPT tabel aanbrengen binnen het AOVPN profiel zodat enkele web applicatie URL's niet meer via publieke DNS resolved werden maar door de interne DNS servers die je via de AOVPN benader.

Ik vraag me af wat de beste optie is om deze wijziging gesynct te krijgen. Volgens mij syncen endpoints minimaal elke 8 uur.
Handmatig kan de gebruiker binnen Windows een sync triggeren. Zelfde kan binnen Intune.
Mij viel gisteren op dat handmatig de sync uitvoeren er niet altijd voor zorgde dat de wijziging doorgevoerd werd. Gebruikers waarbij de sync getriggerd was resolvden nog steeds het publieke IP in plaats van het interne IP. Ook na een flush van de DNS op de Endpoint.
Vanuit Intune had ik bij een device de Diagnostic logs opgevraagd. Ik had gehoopt in een log, of in een REG key, te kunnen zien of de NRPT table current was of toch nog de oude entries bevatte, maar die info kon ik er niet uit halen helaas.
Is er uberhaupt een manier om er achter te komen dat de wijziging doorgevoerd is?

Benieuwd of iemand er iets kan zeggen :) Dank alvast.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
technoaddict schreef op vrijdag 19 augustus 2022 @ 11:09:
Vraagje aan de Intune beheerders. Intune is een klein stukje van mijn werkzaamheden dus niet heel veel ervaring mee.
Een klant van ons gebruikt Always on VPN op hun endpoints en het AOVPN profiel wordt met Intune gepusht. Ik moest een kleine wijziging in de NRPT tabel aanbrengen binnen het AOVPN profiel zodat enkele web applicatie URL's niet meer via publieke DNS resolved werden maar door de interne DNS servers die je via de AOVPN benader.

Ik vraag me af wat de beste optie is om deze wijziging gesynct te krijgen. Volgens mij syncen endpoints minimaal elke 8 uur.
Handmatig kan de gebruiker binnen Windows een sync triggeren. Zelfde kan binnen Intune.
Mij viel gisteren op dat handmatig de sync uitvoeren er niet altijd voor zorgde dat de wijziging doorgevoerd werd. Gebruikers waarbij de sync getriggerd was resolvden nog steeds het publieke IP in plaats van het interne IP. Ook na een flush van de DNS op de Endpoint.
Vanuit Intune had ik bij een device de Diagnostic logs opgevraagd. Ik had gehoopt in een log, of in een REG key, te kunnen zien of de NRPT table current was of toch nog de oude entries bevatte, maar die info kon ik er niet uit halen helaas.
Is er uberhaupt een manier om er achter te komen dat de wijziging doorgevoerd is?

Benieuwd of iemand er iets kan zeggen :) Dank alvast.
Is het niet zo dat bestaande connecties blijven bestaan en er een reboot voor nodig is om de wijziging door te voeren op de laptops?

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • FREAKJAM
  • Registratie: Mei 2007
  • Laatst online: 19-03 12:49

FREAKJAM

"MAXIMUM"

Ik meen mij te herinneren dat je bestaande AOVPN connecties op basis van een ProfileXML niet kunt updaten op de client. Wanneer je de nieuwe XML uploadt in Endpoint Manager, wordt de wijziging niet doorgevoerd op de client. Dit werkt pas wanneer je het bestaande profiel verwijdert en een nieuwe distribueert. Richard Hicks heeft hier wel eens een blog over gepost alleen kan ik deze zo snel niet meer vinden. (dit heb ik ongeveer ~1 jaar geleden wel eens gehad bij een klant, maar kan zijn dat dit inmiddels dus niet meer het geval is).

Gaat het om Windows 10 of Windows 11 devices trouwens? Windows 11 staat bekend sowieso problemen te hebben met de AOVPM XML en moet je een hotfix installeren om dit op te lossen.

Tip voor nu:
Deploy de nieuwe versie van de XML eens naar een nieuwe client. (die de vorige versie dus niet heeft gehad).

[Voor 40% gewijzigd door FREAKJAM op 19-08-2022 11:44]

is everything cool?


  • technoaddict
  • Registratie: Juni 2006
  • Laatst online: 12:26
Die reboot is al gebeurt.
Vanmiddag niet meer aan het werk maar zal maandag verder gaan met jouw bericht @FREAKJAM
Ik had gehoopt geen nieuw profiel te hoeven pushen. Omdat ik niet weet hoe Intune (of de endpoint er mee om gaat)..
Dank!

  • ReZpie
  • Registratie: April 2012
  • Laatst online: 19-03 09:55
TheVMaster schreef op woensdag 11 mei 2022 @ 14:46:
Ik krijg het verzoek om Intune policies te documenteren. Nu kun je natuurlijk vrij eenvoudig (met behulp van de Intune Powershell voorbeelden vanuit Microsoft) een export maken van alle policies, maar daarmee heb je ze nog niet in een document (of Excel sheet) zitten.

Nu kwam ik deze 'tool' tegen van Thomas Kur op Github. Is iemand hier bekend mee? Je krijgt dan uiteindelijk een Word document met daarin alle policies in een mooi overzicht.
Prima tool!

Ook voor audits super.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
Weet iemand een oplossing voor onderstaand luxe probleem :P

Onze leverancier upload de HWID direct in de tenant bij een bestelling en dat verloopt momenteel prima.
Nu zou ik graag een notificatie krijgen als er nieuwe devices worden bijgeschreven.

Iemand een idee hoe je dit kan bewerk stellen?

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • xven0mxz
  • Registratie: December 2009
  • Laatst online: 13:04

xven0mxz

Feyenoord Rotterdam 1908!

HKLM_ schreef op zaterdag 15 oktober 2022 @ 16:50:
Weet iemand een oplossing voor onderstaand luxe probleem :P

Onze leverancier upload de HWID direct in de tenant bij een bestelling en dat verloopt momenteel prima.
Nu zou ik graag een notificatie krijgen als er nieuwe devices worden bijgeschreven.

Iemand een idee hoe je dit kan bewerk stellen?
Je zou iets met een Azure Logic app kunnen doen of met een PS script. Je zult ieder geval met Graph API aan de slag moeten.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
xven0mxz schreef op maandag 17 oktober 2022 @ 09:53:
[...]


Je zou iets met een Azure Logic app kunnen doen of met een PS script. Je zult ieder geval met Graph API aan de slag moeten.
Ik heb afgelopen week iets in elkaar weten te knutselen, werkt nog niet 100% perfect zoals ik wil maar begin is er. Via PowerAutomate monitor ik de Autopilot groep in Azure AD. Als daar nieuwe devices worden toegevoegd (Dit gebeurt automatisch als er nieuwe devices worden geupload) dan zend PowerAutomate een bericht naar Microsoft Teams dat er nieuwe devices zijn toegevoegd.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • xven0mxz
  • Registratie: December 2009
  • Laatst online: 13:04

xven0mxz

Feyenoord Rotterdam 1908!

HKLM_ schreef op maandag 24 oktober 2022 @ 18:55:
[...]


Ik heb afgelopen week iets in elkaar weten te knutselen, werkt nog niet 100% perfect zoals ik wil maar begin is er. Via PowerAutomate monitor ik de Autopilot groep in Azure AD. Als daar nieuwe devices worden toegevoegd (Dit gebeurt automatisch als er nieuwe devices worden geupload) dan zend PowerAutomate een bericht naar Microsoft Teams dat er nieuwe devices zijn toegevoegd.
Wat werkt er nog niet helemaal, misschien kan ik je helpen?

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
xven0mxz schreef op dinsdag 25 oktober 2022 @ 10:30:
[...]


Wat werkt er nog niet helemaal, misschien kan ik je helpen?
Hij gooit de teams chat nog niet in de juiste groep. Maar ik heb er eigenlijk geen tijd voor gehad om verder te kijken :+

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
yeah, ik zie dat de โ€˜nieuweโ€™ url https://intune.microsoft.com/#home live is. @HKLM_ is het ook niet een idee om het topic te hernoemen naar het Microsoft Intune ervaringen topic? Aangezien Endpoint Manager niet meer bestaat :+

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op zondag 6 november 2022 @ 09:43:
yeah, ik zie dat de โ€˜nieuweโ€™ url https://intune.microsoft.com/#home live is. @HKLM_ is het ook niet een idee om het topic te hernoemen naar het Microsoft Intune ervaringen topic? Aangezien Endpoint Manager niet meer bestaat :+
Ja goed idee! Kan jij dat regelen? :)

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op zondag 6 november 2022 @ 09:44:
[...]


Ja goed idee! Kan jij dat regelen? :)
Zeker, het is al gefixt.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
Nice, is die URL echt nieuw? Of was die er al? :+ (heb hem nooit geprobeerd haha)

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op zondag 6 november 2022 @ 09:49:
[...]


Nice, is die URL echt nieuw? Of was die er al? :+ (heb hem nooit geprobeerd haha)
Die url is echt nieuw, paar weken terug kreeg ik nog een foutmelding. Vermoed dat hij nog steeds naar de โ€˜oudeโ€™ intune omgeving stond te wijzen. Kwam hem hier tegen btw.

[Voor 12% gewijzigd door TheVMaster op 06-11-2022 09:56]


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op zondag 6 november 2022 @ 09:53:
[...]


Die url is echt nieuw, paar weken terug kreeg ik nog een foutmelding. Vermoed dat hij nog steeds naar de โ€˜oudeโ€™ intune omgeving stond te wijzen.
Nice, weet jij trouwens wat de gedachte bij Microsoft is om ook devices te kunnen managen vanaf het admin center? Ik vindt dat een rage keuze eigenlijk.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op zondag 6 november 2022 @ 09:55:
[...]


Nice, weet jij trouwens wat de gedachte bij Microsoft is om ook devices te kunnen managen vanaf het admin center? Ik vindt dat een rage keuze eigenlijk.
Wat bedoel me met het โ€˜admin centerโ€™?

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op zondag 6 november 2022 @ 09:56:
[...]


Wat bedoel me met het โ€˜admin centerโ€™?
Admin.Microsoft.com, je kan daar sinds kort je AutoPilot profielen maken, devices uploaden, MAM policies maken enzo.. maar Why?

[Voor 8% gewijzigd door HKLM_ op 06-11-2022 10:09]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op zondag 6 november 2022 @ 09:57:
[...]


Admin.Microsoft.com, je kan daar sinds kort je AutoPilot profielen maken, devices uploaden, MAM policies maken enzo.. maar Why?

[Afbeelding]
Geen idee why. Dat van Autopilot zou ik wel kunnen snappen, de MS Store for Business route stopt binnenkort met werken. Er zijn natuurlijk mensen die dat niet op de Intune portal kunnen doen, die groep kan het nu via het admin center doen.

Waarom er ook policies te zien zijn, geen idee. Staat dat niet ergens uitgelegd op docs.microsoft.com?

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op zondag 6 november 2022 @ 10:13:
[...]


Geen idee why. Dat van Autopilot zou ik wel kunnen snappen, de MS Store for Business route stopt binnenkort met werken. Er zijn natuurlijk mensen die dat niet op de Intune portal kunnen doen, die groep kan het nu via het admin center doen.

Waarom er ook policies te zien zijn, geen idee. Staat dat niet ergens uitgelegd op docs.microsoft.com?
Dat van de Business store route zou wel eens kunnen inderdaad, zal toch eens gaan zoeken dan :P

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op zondag 6 november 2022 @ 10:24:
[...]


Dat van de Business store route zou wel eens kunnen inderdaad, zal toch eens gaan zoeken dan :P
Kan me voorstellen dat er een soort van sub-set via admin.microsoft.com beschikbaar is, net zoals je AAD gerelateerde zaken (groepen, users) in intune.microsoft.com en admin.microsoft.com kunt terugvinden. Soms is het handig om sommige van die features beschikbaar te hebben.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op zondag 6 november 2022 @ 10:28:
[...]


Kan me voorstellen dat er een soort van sub-set via admin.microsoft.com beschikbaar is, net zoals je AAD gerelateerde zaken (groepen, users) in intune.microsoft.com en admin.microsoft.com kunt terugvinden. Soms is het handig om sommige van die features beschikbaar te hebben.
Ik zie vooral voor een eventuele support medewerker wel wat voordelen nu ik er zo overna denk.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op zondag 6 november 2022 @ 10:42:
[...]


Ik zie vooral voor een eventuele support medewerker wel wat voordelen nu ik er zo overna denk.
Al kun je die natuurlijk ook toegang geven tot de Intune portal met een subset van rechten, maar voor de mensen die alleen maar โ€˜eenvoudigeโ€™ zaken moeten kunnen inzien kan de admin.microsoft.com portal natuurlijk ook al voldoende zijn.

  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
Iemand toevallig ervaring met de Intune Update Policy for macOS ?
https://learn.microsoft.c...ct/software-updates-macos
Aangezien het nog preview is gaat microsoft support helaas geen antwoord geven.

Ik heb een policy ingesteld :





Staat er al zo'n 2 weken, maar ondertussen worden devices niet geupdate :




Nu las ik dat je via monitor failures zou kunnen zien maar hier staat niets :



Iemand enig idee ? / Zie ik iets over het hoofd ?

https://www.strava.com/athletes/2323035


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
DDX schreef op vrijdag 2 december 2022 @ 16:12:
Iemand toevallig ervaring met de Intune Update Policy for macOS ?
https://learn.microsoft.c...ct/software-updates-macos
Aangezien het nog preview is gaat microsoft support helaas geen antwoord geven.

Ik heb een policy ingesteld :

[Afbeelding]

[Afbeelding]

Staat er al zo'n 2 weken, maar ondertussen worden devices niet geupdate :

[Afbeelding]


Nu las ik dat je via monitor failures zou kunnen zien maar hier staat niets :

[Afbeelding]

Iemand enig idee ? / Zie ik iets over het hoofd ?
Zijn je macOS devices wel enrolled als supervised devices? (En staan ze in Apple Business Manager of Apple School Manager)

[Voor 3% gewijzigd door HKLM_ op 02-12-2022 18:08]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
HKLM_ schreef op vrijdag 2 december 2022 @ 18:04:
[...]


Zijn je macOS devices wel enrolled als supervised devices? (En staan ze in Apple Business Manager of Apple School Manager)
Nee enkel aangemeld in intune (en azure ad natuurlijk)
Lees nu idd zo ongeveer eerste zin dat ze supervised moeten zijn. (overheen gelezen bij eerste keer kijken)

Best gek dat dat moet terwijl andere intune zaken gewoon wel kunnen zonder supervised te zijn zegmaar.

Maar als ik dan doorklik :

https://learn.microsoft.c...#user-approved-enrollment
All Mac enrollments in Intune are considered user-approved. User-approved enrollment lets you manage macOS devices that aren't part of Apple School Manager or Apple Business Manager. It provides the same level of control as supervised macOS devices enrolled using Automated Device Enrollment or Apple Configurator.
Oftewel is dat echt nodig ?

https://www.strava.com/athletes/2323035


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
DDX schreef op vrijdag 2 december 2022 @ 21:35:
[...]


Nee enkel aangemeld in intune (en azure ad natuurlijk)
Lees nu idd zo ongeveer eerste zin dat ze supervised moeten zijn. (overheen gelezen bij eerste keer kijken)

Best gek dat dat moet terwijl andere intune zaken gewoon wel kunnen zonder supervised te zijn zegmaar.

Maar als ik dan doorklik :

https://learn.microsoft.c...#user-approved-enrollment

[...]


Oftewel is dat echt nodig ?
Ja het is wel echt nodig, bij iphones is het net zo raar geregeld volgens mijโ€ฆ daar werkt de update policy ook niet zonder Supervised mode en die krijg je alleen via ren ABM of ASM enrollment.

Leuke van de MAC books is volgens mij dat je ze niet achteraf in ABM kan hangen maar dit direct bij aankoop moetโ€ฆ

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
Volgens mij zou dit wel achteraf moeten kunnen :

https://developer.apple.com/videos/play/wwdc2021/10297/

Filmpje vanaf 5m30

Maargoed dit gaat geen oplossing zijn voor bestaande macs die al gebruikt worden.
Toch maar weer met nudge (https://github.com/macadmins/nudge) aan de slag, had gehoopt dat updates gepushed konden worden via intune.

[Voor 46% gewijzigd door DDX op 02-12-2022 21:57]

https://www.strava.com/athletes/2323035


  • FREAKJAM
  • Registratie: Mei 2007
  • Laatst online: 19-03 12:49

FREAKJAM

"MAXIMUM"

DDX schreef op vrijdag 2 december 2022 @ 16:12:
Iemand toevallig ervaring met de Intune Update Policy for macOS ?

Iemand enig idee ? / Zie ik iets over het hoofd ?
Dit staat even los van je issue, maar het valt me wel direct op dat je scoped op zowel all devices en all users. Deze voorgedefinieerde groepen kun je over het algemeen wel gebruiken, maar doe ze beter niet allebei tegelijk.

"Intune provides pre-created All Users and All Devices groups in the console. The groups have built-in optimizations for your convenience. It's highly recommended that you use these groups to target all users and all devices instead of any "all users" or "all devices" groups that you might create yourself."

Als je straks ook eventueel met exceptions gaat werken, gaat dit mogelijk voor problemen zorgen. Over het algemeen geldt de regel om het op รณf usergroepen te scopen, รณf devicegroepen, dus ga niet mixen. Bij sommige policies mรณet je zelfs alleen scopen op users (bijv bij compliance policies voor Windows) anders ga je problemen krijgen. (wanneer je windows compliance policies scoped op device groepen, krijg je geneuzel dat het systeem account van Windows zich ermee gaat bemoeien en heb je kans op not-compliant devices).

Nog beter:
Scope in principe altijd op usergroepen (er zijn een paar uitzonderingen - bijvoorbeeld bij windows autopilot profielen scope je altijd op device groepen) en maak onderscheid op basis van filters, dan zit je in principe altijd goed. Stel je hebt ook Windows devices enrolled in Intune dan zijn deze ook in scope van de policy gezien je deze hebt gescoped op 'all devices'. Devicegroepen gebruik je voornamelijk wanneer het device ingezet wordt voor een ander doel en om die reden andere policies wil toepassen op het apparaat (bijv voor een kiosk systeem).

Meer info:
User groups vs. device groups
Fundamentals
Filters

[Voor 29% gewijzigd door FREAKJAM op 03-12-2022 10:00]

is everything cool?


  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
FREAKJAM schreef op vrijdag 2 december 2022 @ 22:47:
[...]


Dit staat even los van je issue, maar het valt me wel direct op dat je scoped op zowel all devices en all users. Deze voorgedefinieerde groepen kun je over het algemeen wel gebruiken, maar doe ze beter niet allebei tegelijk.
Ja klopt, had in eerste instantie ook alleen 'all devices' maar omdat het niet werkte dacht ik dat het misschien op user niveau gebeurde dus had ik all users toegevoegd om te testen.

En als je een policy/script op macos toevoegt dan geeft die netjes bij windows devices aan : 'Not Applicable'

https://www.strava.com/athletes/2323035


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
DDX schreef op maandag 5 december 2022 @ 10:19:
[...]


Ja klopt, had in eerste instantie ook alleen 'all devices' maar omdat het niet werkte dacht ik dat het misschien op user niveau gebeurde dus had ik all users toegevoegd om te testen.

En als je een policy/script op macos toevoegt dan geeft die netjes bij windows devices aan : 'Not Applicable'
Maar dan is het toch een zooitje, ik zou een dynamische groep aanmaken waar automatisch mijn mac devices in komen en die targeten. Dan zit je ook niet met โ€œNot Applicableโ€ windows devices in je rapportage.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • FREAKJAM
  • Registratie: Mei 2007
  • Laatst online: 19-03 12:49

FREAKJAM

"MAXIMUM"

HKLM_ schreef op maandag 5 december 2022 @ 10:24:
[...]


Maar dan is het toch een zooitje, ik zou een dynamische groep aanmaken waar automatisch mijn mac devices in komen en die targeten. Dan zit je ook niet met โ€œNot Applicableโ€ windows devices in je rapportage.
Beter filters gebruiken zoals ik eerder zei. Bij dynamische groepen moet je altijd rekening houden met delay, zeker bij devices die net enrolled zijn.

is everything cool?


  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
HKLM_ schreef op maandag 5 december 2022 @ 10:24:
[...]


Maar dan is het toch een zooitje, ik zou een dynamische groep aanmaken waar automatisch mijn mac devices in komen en die targeten. Dan zit je ook niet met โ€œNot Applicableโ€ windows devices in je rapportage.
Maakt voor deze klant niet echt uit, merendeel is macs.
Volgens mij 2 windows devices.

https://www.strava.com/athletes/2323035


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
FREAKJAM schreef op maandag 5 december 2022 @ 10:27:
[...]


Beter filters gebruiken zoals ik eerder zei. Bij dynamische groepen moet je altijd rekening houden met delay, zeker bij devices die net enrolled zijn.
Mmmm dat kan natuurlijk ook, ik zelf gebruik het eigenlijk veel in onze omgeving en dat werkt eigenlijk prima. Echt een delay merk ik om eerlijk te zijn niet.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
DDX schreef op vrijdag 2 december 2022 @ 21:53:
Volgens mij zou dit wel achteraf moeten kunnen :

https://developer.apple.com/videos/play/wwdc2021/10297/

Filmpje vanaf 5m30
Deze oplossing werkt trouwens om bestaande devices toe te voegen aan mdm/intune.
Je hebt dus een iphone nodig met de app, daar log je in met apple business id (in de app)
En houd de iphone bij de macbook als die taalscherm toont.
Daarna 3d barcode die jet met iphone moet scannen, waarna de mac in apple business te zien is en je hem aan intune kan hangen.

https://www.strava.com/athletes/2323035


  • RPHN
  • Registratie: Maart 2014
  • Laatst online: 01-03 11:46
Het wordt echt tijd dat Microsoft een "Uninstall" button beschikbaar maakt in Company Portal. Dat is echt het enige nadeel wat ik heb als Sys Admin binnen Intune :P

Gewoon zoals Software Center zou heel fijn zijn :)

  • FREAKJAM
  • Registratie: Mei 2007
  • Laatst online: 19-03 12:49

FREAKJAM

"MAXIMUM"

RPHN schreef op woensdag 11 januari 2023 @ 15:20:
Het wordt echt tijd dat Microsoft een "Uninstall" button beschikbaar maakt in Company Portal. Dat is echt het enige nadeel wat ik heb als Sys Admin binnen Intune :P

Gewoon zoals Software Center zou heel fijn zijn :)
Is een tijdje geleden aangekondigd. Zal niet lang meer duren.

[Voor 14% gewijzigd door FREAKJAM op 11-01-2023 18:02]

is everything cool?


  • ReZpie
  • Registratie: April 2012
  • Laatst online: 19-03 09:55
RPHN schreef op woensdag 11 januari 2023 @ 15:20:
Het wordt echt tijd dat Microsoft een "Uninstall" button beschikbaar maakt in Company Portal. Dat is echt het enige nadeel wat ik heb als Sys Admin binnen Intune :P

Gewoon zoals Software Center zou heel fijn zijn :)
Idd, Vandaag nog naar gekeken, is er nog steeds niet.
Nu moet je een aparte groep aanmaken en die deployen aan de "uninstall app" wat een omgekeerde wereld:( raar dat dit nog steeds niet is gemaakt.

Edit; typo

  • Drwho1
  • Registratie: Juni 2012
  • Laatst online: 19-03 20:40
Iemand ervaring met het toekennen van rechten aan gebruikers op specifieke folders via Intune?

Bij ons installeren ze Photoshop via de Creative Cloud (welke uit de company portal komt) en dat is allemaal geen probleem. Maar als de gebruikers vervolgens plugins willen installeren voor Photoshop, dan komt de UAC vragen om admin credentials.

Gebruikers zijn dus geen admin op hun toestellen en er is ook geen plan om daar iets aan te veranderen.

Voor onze domain joined laptops hebben we via een GPO de nodige rechten kunnen geven. Het importeren van de policy levert niets op.

Ik kan wel het nodige vinden om folderrestricties op te leggen via Controlled Folder Access, maar het toekennen van bijkomende rechten is lastiger te vinden.

Heel specifiek zijn het deze folders

%ProgramFiles% (x86)\AdobeshowConfigure
%ProgramFiles% (x86)\Common Files\AdobeshowConfigure
%ProgramFiles%\AdobeshowConfigure
%ProgramFiles%\Adobe\Adobe Photoshop 2020\Plug-ins

Iemand suggesties?

  • akimosan
  • Registratie: Augustus 2003
  • Niet online
Met een powershell script en Set-Acl?

Overigens denk ik dat er bepaalde applicaties zijn die het gebruik van local admin permissions (op werkstations) bijna vereisen

Dat zijn inderdaad creatieve en engineering applicaties zoals Adobe, maar denk ook aan Autodesk producten.

Hoe ga je al die updates bijhouden in je Company Portal, heb je daar de resources voor?
Plugins en extra apps die nodig zijn voor de creators

Nu is het enkel ACL toepassen op een map. Hoe zit het met ACL op Windows Registry in sleutels onder HKEY_CLASSES_ROOT of HKEY_LOCAL_MACHINE? Dat kan voor installatie ook nodig zijn.

Het staat of valt met beleid maar het is goed om dat beleid af en toe ook weer eens tegen het licht te houden.
Wij hebben ook een zero trust beleid maar tegelijkertijd een enorm grote groep gebruikers die voor hun dagelijkse werkzaamheden de local admin rechten nodig hebben.
Voor elk tooltje en activiteit die admin rechten vereist workarounds toepassen kan ook een onbeheersbare bende worden. Dan is het soms beter om beleid te maken en afspraken te maken met de eindgebruikers (bij problemen vanuit IT max 1 uur best effort onderzoek en oplostijd, daarna is het wipe en mag de gebruiker zijn werkstation opnieuw inrichten.)

[Voor 99% gewijzigd door akimosan op 12-01-2023 09:41]


  • ReZpie
  • Registratie: April 2012
  • Laatst online: 19-03 09:55
Drwho1 schreef op donderdag 12 januari 2023 @ 09:22:
Iemand ervaring met het toekennen van rechten aan gebruikers op specifieke folders via Intune?

Bij ons installeren ze Photoshop via de Creative Cloud (welke uit de company portal komt) en dat is allemaal geen probleem. Maar als de gebruikers vervolgens plugins willen installeren voor Photoshop, dan komt de UAC vragen om admin credentials.

Gebruikers zijn dus geen admin op hun toestellen en er is ook geen plan om daar iets aan te veranderen.

Voor onze domain joined laptops hebben we via een GPO de nodige rechten kunnen geven. Het importeren van de policy levert niets op.

Ik kan wel het nodige vinden om folderrestricties op te leggen via Controlled Folder Access, maar het toekennen van bijkomende rechten is lastiger te vinden.

Heel specifiek zijn het deze folders

%ProgramFiles% (x86)\AdobeshowConfigure
%ProgramFiles% (x86)\Common Files\AdobeshowConfigure
%ProgramFiles%\AdobeshowConfigure
%ProgramFiles%\Adobe\Adobe Photoshop 2020\Plug-ins

Iemand suggesties?
Je kunt in de nieuwe package manager van Adobe ingegeven dat men zonder rechten ook plugins mag installeren als ik mij niet vergis.
Ik dacht het ergens gezien te hebben, tijdens het packagen.

Hopelijk kun je hier wat mee.

  • ReZpie
  • Registratie: April 2012
  • Laatst online: 19-03 09:55
akimosan schreef op donderdag 12 januari 2023 @ 09:27:
Met een powershell script en Set-Acl?

Overigens denk ik dat er bepaalde applicaties zijn die het gebruik van local admin permissions (op werkstations) bijna vereisen

Dat zijn inderdaad creatieve en engineering applicaties zoals Adobe, maar denk ook aan Autodesk producten.

Hoe ga je al die updates bijhouden in je Company Portal, heb je daar de resources voor?
Plugins en extra apps die nodig zijn voor de creators

Nu is het enkel ACL toepassen op een map. Hoe zit het met ACL op Windows Registry in sleutels onder HKEY_CLASSES_ROOT of HKEY_LOCAL_MACHINE? Dat kan voor installatie ook nodig zijn.

Het staat of valt met beleid maar het is goed om dat beleid af en toe ook weer eens tegen het licht te houden.
Wij hebben ook een zero trust beleid maar tegelijkertijd een enorm grote groep gebruikers die voor hun dagelijkse werkzaamheden de local admin rechten nodig hebben.
Voor elk tooltje en activiteit die admin rechten vereist workarounds toepassen kan ook een onbeheersbare bende worden. Dan is het soms beter om beleid te maken en afspraken te maken met de eindgebruikers (bij problemen vanuit IT max 1 uur best effort onderzoek en oplostijd, daarna is het wipe en mag de gebruiker zijn werkstation opnieuw inrichten.)
Op dit gebied komt er binnenkort een interssante oplossing van microsoft in general availabibilty.

Cloud laps.

YouTube: Windows LAPS New features: Manage the Local Admin Account Passwords ...

  • FREAKJAM
  • Registratie: Mei 2007
  • Laatst online: 19-03 12:49

FREAKJAM

"MAXIMUM"

ReZpie schreef op donderdag 12 januari 2023 @ 18:10:
[...]


Op dit gebied komt er binnenkort een interssante oplossing van microsoft in general availabibilty.

Cloud laps.

YouTube: Windows LAPS New features: Manage the Local Admin Account Passwords ...
In het kader van least privilege raad ik aan om ook te kijken naar Endpoint Privilege Management, wat binnenkort uit zou moeten komen. Helaas wel een premium feature.

'With Endpoint Privilege Management, you will no longer need to make users local admins. Instead, your users can have standard account privileges and be dynamically elevated to admin privilege for specific admin approved tasks, based on your company policies. This helps improve their productivity while enhancing your security posture'.

is everything cool?


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
FREAKJAM schreef op donderdag 12 januari 2023 @ 21:34:
[...]


In het kader van least privilege raad ik aan om ook te kijken naar Endpoint Privilege Management, wat binnenkort uit zou moeten komen. Helaas wel een premium feature.

'With Endpoint Privilege Management, you will no longer need to make users local admins. Instead, your users can have standard account privileges and be dynamically elevated to admin privilege for specific admin approved tasks, based on your company policies. This helps improve their productivity while enhancing your security posture'.
Is het al bekent wat die add-on gaat kosten? Teams Premium zit op 10euro p/u p/m. Ik vindt dat sterk aan de prijs om eerlijk te zijn.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • RPHN
  • Registratie: Maart 2014
  • Laatst online: 01-03 11:46
Het was een top weekend hier :'(

https://www.anoopcnair.co...602-bug-deletes-shortcut/

Hele weekend bezig geweest om snelkoppelingen te herstellen. En alsnog zijn er heel veel kwijt...

  • Nopheros
  • Registratie: Juli 2007
  • Laatst online: 11:23
RPHN schreef op zondag 15 januari 2023 @ 21:05:
Het was een top weekend hier :'(

https://www.anoopcnair.co...602-bug-deletes-shortcut/

Hele weekend bezig geweest om snelkoppelingen te herstellen. En alsnog zijn er heel veel kwijt...
Ja geweldige actie idd.

Bij ons zijn de office en edge snelkoppelingen verdwenen uit het start menu + de hele installatie van office zelf die we pushen via Intune. We hadden ook snelkoppelingen op de taalkbalk geplaatst, Outlook, Wordt etc. Die staan er nog wel maar werken niet meer omdat de locatie niet meer blijkt te bestaan.

We gaan morgen kijken wat de schade is. We gebruikte een configuratie profiel voor de snelkoppelingen op de taakbalk dus met wat geluk kan ik die gewoon opnieuw uitrollen.

Aan de andere kant is er blijkbaar tegenwoordig ook een icoontje in het start menu genaamd "Office". Dit is een soort dashboard met alle office applicaties en die werken verder wel. Misschien dat ik die op de taakbalk zet i.p.v. alle losse icoontjes en dan is het voor ons eigenlijk vrij simpel opgelost.

[Voor 31% gewijzigd door Nopheros op 15-01-2023 23:26]


  • RPHN
  • Registratie: Maart 2014
  • Laatst online: 01-03 11:46
Nopheros schreef op zondag 15 januari 2023 @ 23:19:
[...]


Ja geweldige actie idd.

Bij ons zijn de office en edge snelkoppelingen verdwenen uit het start menu + de hele installatie van office zelf die we pushen via Intune. We hadden ook snelkoppelingen op de taalkbalk geplaatst, Outlook, Wordt etc. Die staan er nog wel maar werken niet meer omdat de locatie niet meer blijkt te bestaan.

We gaan morgen kijken wat de schade is. We gebruikte een configuratie profiel voor de snelkoppelingen op de taakbalk dus met wat geluk kan ik die gewoon opnieuw uitrollen.

Aan de andere kant is er blijkbaar tegenwoordig ook een icoontje in het start menu genaamd "Office". Dit is een soort dashboard met alle office applicaties en die werken verder wel. Misschien dat ik die op de taakbalk zet i.p.v. alle losse icoontjes en dan is het voor ons eigenlijk vrij simpel opgelost.
Bij ons ook veel third party applicaties zoals Aspen, Autocad, Adobe etc. Hebben gezorgd dat we voor vanochtend een app beschikbaar hadden die alle snelkoppelingen hersteld die iedereen in gebruik heeft zoals Office, SAP, VPN etc.

  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
HKLM_ schreef op vrijdag 2 december 2022 @ 21:39:
[...]


Ja het is wel echt nodig, bij iphones is het net zo raar geregeld volgens mijโ€ฆ daar werkt de update policy ook niet zonder Supervised mode en die krijg je alleen via ren ABM of ASM enrollment.

Leuke van de MAC books is volgens mij dat je ze niet achteraf in ABM kan hangen maar dit direct bij aankoop moetโ€ฆ
Nou inmiddels komen devices die niet supervised zijn toch bij updates monitor scherm te staan.
En updates worden ook installed.

Toch iets aangepast inmiddels dus door Microsoft.

https://www.strava.com/athletes/2323035


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
DDX schreef op dinsdag 24 januari 2023 @ 17:02:
[...]


Nou inmiddels komen devices die niet supervised zijn toch bij updates monitor scherm te staan.
En updates worden ook installed.

Toch iets aangepast inmiddels dus door Microsoft.
Ooooo dat is wel interessant! Morgen ook eens checken!

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • xven0mxz
  • Registratie: December 2009
  • Laatst online: 13:04

xven0mxz

Feyenoord Rotterdam 1908!

DDX schreef op dinsdag 24 januari 2023 @ 17:02:
[...]


Nou inmiddels komen devices die niet supervised zijn toch bij updates monitor scherm te staan.
En updates worden ook installed.

Toch iets aangepast inmiddels dus door Microsoft.
Welk scherm bedoel jij precies? Bij ons staat het update profile bij alle gebruikers die geen supervised devices hebben nog op error.

Kan ook niets vinden of Microsoft daadwerkelijk iets heeft aangepast hierin

[Voor 8% gewijzigd door xven0mxz op 25-01-2023 11:13]


  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
Monitor | Installation status for macOS devices (preview)
https://endpoint.microsof...macOsInstallationFailures

Daar staat bij mij lijst van alle macs die we hebben. (2 hebben we er maar via apple business enrolled)
Aantal zijn er inmiddels up to date op 13.2, bij andere staat status dat ze 13.2 aan het installeren zijn.

https://www.strava.com/athletes/2323035


  • xven0mxz
  • Registratie: December 2009
  • Laatst online: 13:04

xven0mxz

Feyenoord Rotterdam 1908!

Aaah MacOS. Ik had het over IOS/iPadOS

  • DDX
  • Registratie: April 2001
  • Laatst online: 12:51
Nou vorige maand zag ik macbook dus ook niet in dat scherm staan.
En nu dus opeens wel, dus Microsoft heeft wel wat aangepast.

https://www.strava.com/athletes/2323035


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
xven0mxz schreef op woensdag 25 januari 2023 @ 11:13:
[...]


Welk scherm bedoel jij precies? Bij ons staat het update profile bij alle gebruikers die geen supervised devices hebben nog op error.

Kan ook niets vinden of Microsoft daadwerkelijk iets heeft aangepast hierin
Je bent mij net voor, voor Mac OS is het nog niet zonder helaas ;(

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
Ik zat vandaag met een collega kort door de 2.2K Office Policy mogelijkheden te zoeken, maar we konden niets vinden om een office-click-to-run client naar een bepaalde build te dwingen.

Heb ik ergens een regel gemist of bestaat zoiets niet (icm MS365 E3 licentie) ?

Hold. Step. Move. There will always be a way to keep on moving


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
D_Jeff schreef op donderdag 16 maart 2023 @ 19:52:
Ik zat vandaag met een collega kort door de 2.2K Office Policy mogelijkheden te zoeken, maar we konden niets vinden om een office-click-to-run client naar een bepaalde build te dwingen.

Heb ik ergens een regel gemist of bestaat zoiets niet (icm MS365 E3 licentie) ?
Je kunt bij de Applicatie gewoon een build selecteren he, maar wat ik mij dan gelijk afvraag. Waarom zou je een specifieke build van de M365 apps willen laten deployed en niet gewoon altijd de laatste versie (uit de betreffende ring) willen uitrollen?

Maar wat ik zei, je kunt bij het maken van de Applicatie (op de Intune portal) eventueel een specifieke build selecteren.

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
D_Jeff schreef op donderdag 16 maart 2023 @ 19:52:
Ik zat vandaag met een collega kort door de 2.2K Office Policy mogelijkheden te zoeken, maar we konden niets vinden om een office-click-to-run client naar een bepaalde build te dwingen.

Heb ik ergens een regel gemist of bestaat zoiets niet (icm MS365 E3 licentie) ?
Ik heb wel een Configuration policy draaien: Enable Automatic updates.
Maar dan polt deze zelf maar updates eens in de zoveel tijd.

De Force Office automatic updates to run https://learn.microsoft.c...e-templates-update-office zou je ook nog kunnen aftrappen via een ProActive Remidation scriptje.

[Voor 17% gewijzigd door HKLM_ op 16-03-2023 20:03]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op donderdag 16 maart 2023 @ 20:00:
[...]


Ik heb wel een Configuration policy draaien: Enable Automatic updates.
Maar dan polt deze zelf maar updates eens in de zoveel tijd.
Waar dat is toch iets heel anders dan bewust een specifieke build willen uitrollen?

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op donderdag 16 maart 2023 @ 20:03:
[...]


Waar dat is toch iets heel anders dan bewust een specifieke build willen uitrollen?
Je moet dan zo iets fixen denk:

code:
1
 <Updates Enabled="TRUE" UpdatePath="\\server\updates" />


Welke je via een GPO kan aftrappen, in Intune moet je de Office GPOโ€s dan denk ik importeren om dit te laten werken. En de build waarnaar je wilt updaten moet je ergens gaan aanbieden.

[Voor 7% gewijzigd door HKLM_ op 16-03-2023 20:07]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op donderdag 16 maart 2023 @ 20:07:
[...]


Je moet dan zo iets fixen denk:

code:
1
 <Updates Enabled="TRUE" UpdatePath="\\server\updates" />


Welke je via een GPO kan aftrappen, in Intune moet je de Office GPOโ€s dan denk ik importeren om dit te laten werken. En de build waarnaar je wilt updaten moet je ergens gaan aanbieden.
GPO? ๐Ÿ˜ณ We hebben het hier toch over Intune, in die wereld doen we geen GPOโ€™s meer hรจ.

Volgens mij zitten de relevante Office policies wel in de Settings Catalog, geen reden om GPOโ€™s te willen importeren lijkt me. Kom ik weer bij mijn eerdere vraag: WAAROM zou je een specifieke Office build willen uitrollen?

[Voor 18% gewijzigd door TheVMaster op 16-03-2023 20:13]


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op donderdag 16 maart 2023 @ 20:12:
[...]


GPO? ๐Ÿ˜ณ We hebben het hier toch over Intune, in die wereld doen we geen GPOโ€™s meer hรจ.
Weet ik :P maar je kan een classic GPO wel omzetten naar Intune style :+

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
HKLM_ schreef op donderdag 16 maart 2023 @ 20:13:
[...]


Weet ik :P maar je kan een classic GPO wel omzetten naar Intune style :+
Tja alles kan, maar dat wil niet zeggen dat je het ook moet willen hรจ. ๐Ÿ˜Ž Zeg ik dan vanuit rol als Intune guru. ๐Ÿ˜‡

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
Waarom een specifieke build?
--> Uitvraag van een klant, die persee de kritische Outlook CVE zsm gepatched wil hebben. Daar waar ik een "force option" voor Windows heb, mis ik die voor Office.

Om nou 1k machines handmatig af te gaan, is ook weer zo wat :P

--> Welke ring keuze?
Halfjaarlijkse cycle (dus main build 220x)

[Voor 11% gewijzigd door D_Jeff op 16-03-2023 20:17]

Hold. Step. Move. There will always be a way to keep on moving


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
TheVMaster schreef op donderdag 16 maart 2023 @ 20:14:
[...]


Tja alles kan, maar dat wil niet zeggen dat je het ook moet willen hรจ. ๐Ÿ˜Ž Zeg ik dan vanuit rol als Intune guru. ๐Ÿ˜‡
Haha ben ik het wel mee eens hoor, alleen als je het echt wil kan het zo. Moet je het willen nee :P

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
D_Jeff schreef op donderdag 16 maart 2023 @ 20:16:
Waarom een specifieke build?
--> Uitvraag van een klant, die persee de kritische Outlook CVE zsm gepatched wil hebben. Daar waar ik een "force option" voor Windows heb, mis ik die voor Office.

Om nou 1k machines handmatig af te gaan, is ook weer zo wat :P

--> Welke ring keuze?
Halfjaarlijkse cycle (dus main build 220x)
Maar een force Om te updaten (Update Now) is ook al voldoende voor je dus?

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
D_Jeff schreef op donderdag 16 maart 2023 @ 20:16:
Waarom een specifieke build?
--> Uitvraag van een klant, die persee de kritische Outlook CVE zsm gepatched wil hebben. Daar waar ik een "force option" voor Windows heb, mis ik die voor Office.

Om nou 1k machines handmatig af te gaan, is ook weer zo wat :P

--> Welke ring keuze?
Halfjaarlijkse cycle (dus main build 220x)
Dan kun je toch ook gewoon de build laten wijzigen naar ehh, Current (of hoe heet dat ding tegenwoordig). dan krijg je volgens mij de meest recente versie (dat is overigens ook de aanbeveling van Microsoft he.

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 12:41
TheVMaster schreef op donderdag 16 maart 2023 @ 20:25:
[...]


Dan kun je toch ook gewoon de build laten wijzigen naar ehh, Current (of hoe heet dat ding tegenwoordig). dan krijg je volgens mij de meest recente versie (dat is overigens ook de aanbeveling van Microsoft he.
De halfjaarlijkse ring krijgt 2x andere mogelijkheden, maar doet netjes mee in de maandelijkse security patching rondes.
"Even overgaan" naar een andere ring ga ik er niet doorheen krijgen (geen optie).

Daarom moet ik tot op de punt komma de juiste build hebben. Intune kan al netjes laten zien wat de exacte build version is, nu nog een manier om het geforceerd zsm daar te krijgen

Hold. Step. Move. There will always be a way to keep on moving


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 13:05
D_Jeff schreef op donderdag 16 maart 2023 @ 20:32:
[...]

De halfjaarlijkse ring krijgt 2x andere mogelijkheden, maar doet netjes mee in de maandelijkse security patching rondes.
"Even overgaan" naar een andere ring ga ik er niet doorheen krijgen (geen optie).

Daarom moet ik tot op de punt komma de juiste build hebben. Intune kan al netjes laten zien wat de exacte build version is, nu nog een manier om het geforceerd zsm daar te krijgen
Not 100% sure maar kan je dit aftrappen op de cliรซnt?, via Powershell of een Remidation

code:
1
 โ€œC:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeโ€ /update user displaylevel=false forceappshutdown=true updatetoversion=X.X.X.X

Voorbeeld: updatetoversion=16.0.14931.20392

Ik ben even niet in de gelegenheid om het voor je te testen of een Remidation scriptje voor je te maken.

@D_Jeff Anoop heeft zojuist een video gepost waar dit in voorkomt.



YouTube: FIX Outlook Client Vulnerability | Force Office Apps Update using In...

[Voor 36% gewijzigd door HKLM_ op 16-03-2023 21:08]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 11:11
D_Jeff schreef op donderdag 16 maart 2023 @ 20:32:
[...]

De halfjaarlijkse ring krijgt 2x andere mogelijkheden, maar doet netjes mee in de maandelijkse security patching rondes.
"Even overgaan" naar een andere ring ga ik er niet doorheen krijgen (geen optie).

Daarom moet ik tot op de punt komma de juiste build hebben. Intune kan al netjes laten zien wat de exacte build version is, nu nog een manier om het geforceerd zsm daar te krijgen
Het is ook niet meer dan โ€˜evenโ€™ overgaan ;-) Zo spannend is het allemaal niet hoor. Maar waarom moet je exact tot op de komma de juiste build hebben. Het is een Moderne (cloud) Werkplek he, benader hem dan alsjeblieft niet als een โ€˜traditioneleโ€™ on-prem werkplek. :?

  • xven0mxz
  • Registratie: December 2009
  • Laatst online: 13:04

xven0mxz

Feyenoord Rotterdam 1908!

Wij maken gebruik van servicing profiles voor Office updates. Terug te vinden op config.office.com.
Pagina: 1 2 3 Laatste


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee