Toon posts:

Microsoft Endpoint Manager ervaringen topic

Pagina: 1
Acties:

Onderwerpen




Microsoft Endpoint Manager is de strategische infrastructuur voor het beheren en beveiligen van de apparaten, apps en gegevens van uw organisatie. Daarnaast helpt Microsoft Endpoint Manager ervoor te zorgen dat uw eindgebruikers de beste ervaring hebben met de productiviteit.



Microsoft Intune: Intune is 100% een provider van cloudservices voor het beheren van mobiele apparaten (MDM of Mobile Device Management) en mobiele toepassingen (MAM of Mobile Application Management), voor uw apps en apparaten. U kunt er functies en instellingen op apparaten met Android, Android Enterprise, iOS/iPadOS, macOS en Windows 10 mee beheren. Intune kan worden geïntegreerd met andere services, waaronder Azure Active Directory (AD), verdedigingssoftware tegen mobiele bedreigingen, ADMX-sjablonen, Win32- en aangepaste LOB-apps en meer.

Configuration Manager: Configuration Manager is een on-premises oplossing voor het beheren van desktopcomputers, servers en laptops die zich op uw netwerk of op internet bevinden. U kunt deze cloud inschakelen voor integratie met Intune, Azure Active Directory (AD), Microsoft Defender for Endpoint en andere cloudservices. Gebruik Configuration Manager om apps, software-updates en besturingssystemen te implementeren. U kunt ook naleving controleren, query's uitvoeren en in realtime op clients reageren, en nog veel meer.

Co-beheer: met co-beheer combineert u uw huidige investering in on-premises Configuration Manager met de cloud omdat er gebruik wordt gemaakt van Intune en andere Microsoft 365-cloudservices. U kunt kiezen of Configuration Manager of Intune de beheerinstantie is die voor de zeven verschillende workloadgroepen moet worden gebruikt.

Desktop Analytics: Desktop Analytics is een cloudservice die kan worden geïntegreerd met Configuration Manager. Desktop Analytics biedt inzicht en intelligentie zodat u beter geïnformeerde beslissingen kunt nemen over de updategereedheid van Windows. De service combineert gegevens van uw organisatie met gegevens die zijn verzameld van miljoenen apparaten die zijn verbonden met de Microsoft-cloud. Ze geeft informatie over beveiligingsupdates, apps en apparaten in uw organisatie, en identificeert compatibiliteitsproblemen met apps en stuurprogramma's. Voer een test uit met apparaten die waarschijnlijk de beste inzichten bieden in assets in uw organisatie.

Windows Autopilot: met Windows Autopilot kunt u nieuwe apparaten installeren en vooraf configureren, zodat ze klaar zijn voor gebruik. Windows Autopilot is ontworpen om het gebruik van Windows-apparaten tijdens alle fasen van de levenscyclus te vereenvoudigen, voor zowel IT-medewerkers als eindgebruikers, vanaf de eerste implementatie tot het einde van de cyclus.

Azure Active Directory (AD) : Azure AD wordt gebruikt door de eindpuntbeheerder voor de identiteit van apparaten, gebruikers, groepen en meervoudige verificatie (MFA). Azure AD Premium, wat extra kosten met zich meebrengt, heeft extra functies om apparaten, apps en gegevens te beschermen, met inbegrip van dynamische groepen, automatische inschrijving en voorwaardelijke toegang.

Endpoint Manager-beheercentrum: het beheercentrum is een website die alles biedt wat u nodig hebt voor het maken van beleidsregels en het beheren van uw apparaten. Het maakt gebruikt van andere belangrijke services voor het beheer van apparaten, waaronder groepen, beveiliging, voorwaardelijke toegang en rapportage. In dit beheercentrum vindt u ook apparaten die worden beheerd door Configuration Manager en Intune (als preview-versie).



Als je nog geen ervaring hebt met Microsoft Endpoint manager en hier mee wil starten dan heeft microsoft een
Snelstartgids: Microsoft Intune gratis proberen hiermee kan je een trail tenant maken van 30 dagen. Zakelijke gebruikers kopen wat sneller een licentie maar als Endpoint beheerder of student kan je ook een Microsoft 365 Business Basic en een EMS E3 licentie aanschaffen dit kost je dan ongeveer 150,- per jaar.



Er is online heel veel te vinden over Endpoint manager hieronder een aantal variantenOok zijn er verschillende boeken welke je kunt gebruiken bijvoorbeeld de boeken van MS-100,MS-101, MD-100 en MD-101 zelf gebruik ik ook het boek learning microsoft endpoint manager





Een zeer uitgebreide uitleg over autopilot: Demonstrate Autopilot deployment

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

tdm850ed schreef op woensdag 6 oktober 2021 @ 11:18:
[...]


Script draaide lokaal op de laptop via de beheertool en de output werd opgeslagen op een share waar iedereen access naar toe heeft.
Je linkt brengt me direct verder :P Denk dat ik dit eens ga uitvogelen binnenkort
https://msendpointmgr.com...ws-autopilot-information/

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

nextware schreef op woensdag 6 oktober 2021 @ 16:42:
[...]


Bestaande devices worden bij ons niet omgezet naar Autopilot. Alleen bij nieuwe laptops wordt er gebruik gemaakt van Autopilot. De hardware hash hiervoor wordt door onze supplier direct in onze Endpoint tenant geplaatst. Wanneer een bestaande laptop crashed en deze hoeft nog niet vervangen te worden wordt deze laptop nog via MDT opnieuw geïnstalleerd.

We maken nu nog gebruik van een Azure Hybrid AD-join omgeving welke we voor 31-12 aanstaande hopen te vervangen voor een full Azure-AD join omgeving.

En binnenkort gaan we ook kijken om desktop van Autopilot uit te rollen. De eerste testen leveren een totale installatie tijd van ongeveer 18 minuten op terwijl de MDT sequence ruim 40 minuten duurt.
Dat in de tenant uploaden ken ik inderdaad, ik ga toch eens kijken hoe ik bestaande laptops makkelijk kan laten joinen (zonder veel werk) :P

Voor laptops welke nog niet in autopilot zitten maar je wel gaat herinstalleren is dit ook een oplossing. https://www.robinhobo.com...ws-autopilot-even-faster/ Dan kan je vanuit de window 10 setup via shift + F10 en wat commando's het device registreren en dan verder gaan :*)

Dit werkt ook en is best handig, als je Windows installeert en aangeeft dat het een werk device is (Even aanmelden met een gebruikersnaam en password) Als je dan in je Autopilot profiel hebt aangevinkt dat nieuwe devices ook een Autopilot device moeten worden dan ben je er direct :X

https://tweakers.net/i/53yVz3gu_dA0pwuKo-4VlP7nu28=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/QJ23tVU04pWZr742ba2lJkzC.png?f=user_large

[Voor 27% gewijzigd door HKLM_ op 06-10-2021 19:38]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • duronbug
  • Registratie: november 2000
  • Laatst online: 27-01 23:04

duronbug

Step on it.....!

Alternatieve optie om bestaande devices in Intune + Autopilot te krijgen is een provisioning package: https://docs.microsoft.co...lment/windows-bulk-enroll

In combinatie met deze setting:

https://tweakers.net/i/FXb_NoWkuaZ4ZM9e6lJS1RPiBm8=/800x/filters:strip_exif()/f/image/h9L4xJP0Bk4hseDJbL9L5H4O.png?f=fotoalbum_large

  • nextware
  • Registratie: mei 2002
  • Laatst online: 11:08
D_Jeff schreef op dinsdag 2 november 2021 @ 13:32:
@TheVMaster

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )
@D_Jeff Tegen dit probleem zijn wij bij de implementatie van Autopilot ook aangelopen.
Na uitvoerig overleg met Microsoft support medewerkers blijkt dit proces te "wachten" op een sync vanuit de Azure AD-omgeving waarin het device een bericht krijgt dat de registratie compleet is. Daarna krijgt de gebruiker een loginscherm om de registratie te voltooien. De timeout binnen de ESP heeft hier inderdaad totaal geen effect op.

Microsoft raadt ook aan om de User ESP geheel over te slaan gedurende Autopilot (bron: Microsoft Support). Dit kun je doen door een configuration profile aan te maken binnen Endpoint.

Je kunt eens op de volgende plaatsen zoeken naar een mogelijke oplossing:

1: in Azure AD; kijk even of de gebruiker een device mag registeren:

Zet ook de optie eronder bij "Maximum number of devices per user" op een iets hoger getal. Wij hebben hem op 20 staan.

2: Als je gebruik maakt van een Hybrid omgeving; probeer de sync setting van de Azure AD synchronization agent even op 10 minuten te zetten en kijk of dit effect heeft

3: Die "joining your organization's network" is een taakje op het device zelf. Het kan ook zijn dat deze taak vastloopt. Probeer onderstaand Powershell script eens wat je in je Autopilot sequence op het device laat installeren:

code:
1
2
3
4
5
6
$DurationTimeSpan = New-TimeSpan -Hours 1
$RepetitionTimeSpan = New-TimeSpan -Minutes 5
$Trigger1 = New-ScheduledTaskTrigger -AtLogon
$Trigger2 = New-ScheduledTaskTrigger -At (Get-Date) -Once -RepetitionDuration $DurationTimeSpan -RepetitionInterval $RepetitionTimeSpan
$TaskPath = (Get-ScheduledTask -TaskName "Automatic-Device-Join").TaskPath
Set-ScheduledTask -TaskName "Automatic-Device-Join" -TaskPath $TaskPath -Trigger $Trigger1,$Trigger2


Dit is de beschrijving van het script:
it keeps the user logon trigger, but instead of the default on-domain-join-and-then-every-hour-for-one-day trigger, it actually triggers the registration task the moment the PowerShell script is run and then every 5 minutes for the next hour
LET OP: dit script is afkomstig van een Microsoft support medewerker. Gebruik is echter wel op eigen risico !!

Dit distribueer je dan als een Powershell script gedurende de Autopilot sequence. Vergeet uiteraard niet de groep met Autopilot devices hierop rechten te geven ;)



Die error 1097 is een error dat MFA in de weg zit om de ESR (Enterprise State Roaming) uit te laten voeren.

Ik vermoed dat dit een reguliere error is die wel verdwijnt op het moment dat de Autopilot deployment geheel is uitgevoerd.

En de laatste tip: we hebben gemerkt dat de Autopilot sequence ook niet lukt als het device is verbonden met ons corporate (WiFi-) netwerk. Daarom adviseren wij ook iedereen om de deployment thuis te doen. Of als ze het persé op kantoor willen doen dat ze dan ons gasten WiFi hiervoor gebruiken en het device niet op een netwerkkabel aansluiten op kantoor.

[Voor 8% gewijzigd door nextware op 02-11-2021 14:29]


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 28-01 18:21

Hann1BaL

Do you stay for dinner?Clarice

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:

  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff
Drivemapping N:


Script: Omdat we gebruikmaken van persistent mappings moet UseOptions met de juiste HEX waarde worden gevuld. Die hex waarde stoppen we in een variabele.
De variabele kun je vervolgens hergebruiken. We gaan wel uit van single signon dus dat je de de mapping kunt doen met de UPN van de user die is ingelogd.
Meer drivemappings? Kopieer en plak de sectie vanaf New-Item onderaan het script en pas de driveletters en RemotePath aan

Create-NetworkDrives.ps1

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#


Deployment hebben we als script gedaan, ik schreef W32app met script maar is script only..

[Voor 14% gewijzigd door akimosan op 02-11-2021 18:50]


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
Jazzy schreef op Wednesday 3 November 2021 @ 12:58:
Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. :) Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Dit kan allemaal gewoon via een App Protection Policy.... Eh...over wat voor soort Outlook policy hebben we het in hemelsnaam? De APP policy kan bovenstaand namelijk gewoon allemaal, maar jij verwijst naar een artikel die het niet over MEM heeft, maar over Outlook zelf.

Wat probeer je nu te bereiken dan met de apps, want volgens mij haal jij zaken door elkaar? :?

Hieronder een voorbeeld APP voor iOS:

[Voor 10% gewijzigd door TheVMaster op 03-11-2021 14:02]


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
Jazzy schreef op Wednesday 3 November 2021 @ 19:50:
[...]
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?
Dat is natuurlijk waar, maar dan moet die betreffende app wel een APP hebben natuurlijk. Je zou dat met CA dus kunnen afdwingen :+ Hier vindt je een lijstje met de apps die daarvoor worden ondersteund (het linkje naast dat checkboxje) : https://docs.microsoft.co...ire-app-protection-policy

[Voor 13% gewijzigd door TheVMaster op 04-11-2021 09:43]


  • RPHN
  • Registratie: maart 2014
  • Laatst online: 24-01 10:16
Iemand enig idee hoe deze gevuld kan worden?



Devices zijn onboarded in Defender ATP met een onboard package pushed via een Configuration Profile.

  • RPHN
  • Registratie: maart 2014
  • Laatst online: 24-01 10:16
Devices zijn via Autopilot enrolled en managed by Intune

https://tweakers.net/i/TZrZ1lkYYA_wVLt-AVcf5MgknWI=/800x/filters:strip_exif()/f/image/Ql1OrLdJ0vRGT8zBODd8nx3b.png?f=fotoalbum_large

  • jeroentjeh
  • Registratie: oktober 2005
  • Laatst online: 07:46
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :


  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 11:34
HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:


De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"

[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 20:52:
[...]


/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet

De enigste parameter die je nog wil meegeven is /q
Mmmmm oké :P maar dit commando maakt Intune er zelf van hoor >:)
Plaatje is van de Intune package. Ik zal morgen dan eens een MSI package maken zonder de i



Edit a thx ik gaf het commando op zal het eens met alleen /q proberen thx :)

[Voor 4% gewijzigd door HKLM_ op 11-01-2022 21:02]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • Le Enfant!
  • Registratie: juli 2012
  • Laatst online: 26-01 20:41
Ik heb hier een vreemd issue met enkele devices die op geen enkele manier updates binnen kunnen halen.
Ik zie volgende foutmeldingen in zowel de ScanAgent.log als de WUAHander.log
ScanAgent.log

WUAHandler.log


Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent ‘Scan retry Pending’
Error 0x80244007 betekent “Same as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.”

Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.

Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt

SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.

Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.

Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee