Microsoft Intune ervaringentopic

D_Jeff schreef op dinsdag 2 november 2021 @ 13:32:
@TheVMaster

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )

1
2
3
4
5
6

$DurationTimeSpan = New-TimeSpan -Hours 1
$RepetitionTimeSpan = New-TimeSpan -Minutes 5
$Trigger1 = New-ScheduledTaskTrigger -AtLogon
$Trigger2 = New-ScheduledTaskTrigger -At (Get-Date) -Once -RepetitionDuration $DurationTimeSpan -RepetitionInterval $RepetitionTimeSpan
$TaskPath = (Get-ScheduledTask -TaskName "Automatic-Device-Join").TaskPath
Set-ScheduledTask -TaskName "Automatic-Device-Join" -TaskPath $TaskPath -Trigger $Trigger1,$Trigger2

it keeps the user logon trigger, but instead of the default on-domain-join-and-then-every-hour-for-one-day trigger, it actually triggers the registration task the moment the PowerShell script is run and then every 5 minutes for the next hour

[ Voor 8% gewijzigd door nextware op 02-11-2021 14:29 ]

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#

[ Voor 14% gewijzigd door akimosan op 02-11-2021 18:50 ]

Jazzy schreef op Wednesday 3 November 2021 @ 12:58:
Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

[ Voor 10% gewijzigd door TheVMaster op 03-11-2021 14:02 ]

Jazzy schreef op Wednesday 3 November 2021 @ 19:50:
[...]
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?

[ Voor 13% gewijzigd door TheVMaster op 04-11-2021 09:43 ]

HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.

[ Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58 ]

_Dune_ schreef op vrijdag 29 april 2022 @ 16:57:
Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.

Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuëren naar de laptops?

Weet jij zo welke GPO dat is, dan kan ik wel even kijken of ik die erin kan krijgen hier

[ Voor 13% gewijzigd door TheVMaster op 29-04-2022 17:13 ]

HKLM_ schreef op donderdag 6 april 2023 @ 10:28:
[...]


Als ik zijn blog zo lees dan zit het er in maar kan het nog niet aan?

[ Voor 40% gewijzigd door xven0mxz op 06-04-2023 12:42 ]

racoon schreef op donderdag 20 april 2023 @ 17:43:
[...]


Als ik Don’t run specified Windows Applications wil instellen waar in de intune admin portal kan ik dat instellen?

[ Voor 34% gewijzigd door TheVMaster op 20-04-2023 17:54 ]

racoon schreef op woensdag 26 april 2023 @ 10:54:
[...]


hoe kan ik een via de nieuwe store integratie geinstalleerde app van 1 laptop verwijderen, ik heb hem al wel uit de bedrijfsportaal kunnen verwijderen maar toch staat hij nog geinstalleerd.

[ Voor 36% gewijzigd door xven0mxz op 26-04-2023 11:00 ]

xven0mxz schreef op woensdag 26 april 2023 @ 10:57:
[...]


Groep waar de gebruiker of device inzit koppelen aan de de-installatie in de applicatie in intune onder assignments.

[Afbeelding]

Edit:
Misschien verstandig om de volgende video's van dit kanaal te bekijken, leer je een hoop van . https://www.youtube.com/@IntuneTraining

TheVMaster schreef op dinsdag 30 mei 2023 @ 13:07:
[...]


Waarom zou je on-prem willen blijven?

[ Voor 27% gewijzigd door xven0mxz op 30-05-2023 13:15 ]

HKLM_ schreef op dinsdag 30 mei 2023 @ 17:45:
[...]


Me2 en die nieuwe plek heeft die dik verdiend trouwens (ik heb hem al)

[ Voor 16% gewijzigd door TheVMaster op 30-05-2023 17:51 ]

Harmen schreef op donderdag 30 november 2023 @ 15:49:
MS logica Met wat moeite en uitzoekwerk een Entra id groep toegevoegd aan de lokale groep Netwerkconfiguratieoperators. Had verwacht dat een standaard user dan in staat zou moeten zijn om ip settings aan te passen. Helaas! Iemand nog een idee?

Kwam wel het volgende tegen: https://call4cloud.nl/2021/04/dude-wheres-my-admin/#changing

Nogne schreef op donderdag 9 mei 2024 @ 09:08:
[...]


Hoe is het mogelijk om in Outlook het werk account niet zichtbaar te hebben buiten de tijden dat iemand aan het werk is. Wist namelijk niet dat dit mogelijk was in Outlook.

[ Voor 3% gewijzigd door TheVMaster op 09-05-2024 14:12 ]

HKLM_ schreef op woensdag 29 mei 2024 @ 20:16:
Ik weet dat ik heb geroepen AutoPilotv2 eind van deze maand maar nu de maand nog twee dagen telt begin ik wel te twijfelen of het nog gaat gebeuren

HKLM_ schreef op woensdag 29 mei 2024 @ 21:09:
[...]


Ik heb hem in het engels maar zie dat niet staan. Of het komt omdat ik op mobiel zit

HKLM_ schreef op maandag 3 juni 2024 @ 11:59:
Zojuist een Device preparation policie aangemaakt en toch de documentatie erbij moeten pakken
De security groep die je aanmaakt moet een owner hebben, dat had ik wel gelezen maar niet dat dit een specifieke owner moest zijn "Intune Autopilot ConfidentialClient" of "Intune Provisioning Client" lijkt een beetje van je tenant af te hangen. Daarna easy peasy en nu loopt de installatie met een Windows Dev built van Windows 11

Wat me nu opvalt is dat je geen device name template kan opgeven in het profiel...

[Afbeelding]

[ Voor 18% gewijzigd door TheVMaster op 05-06-2024 09:10 ]

[ Voor 17% gewijzigd door Quad op 05-06-2024 13:48 ]

HKLM_ schreef op vrijdag 7 juni 2024 @ 09:19:
ik kwam gisteravond deze blog tegen: https://oofhours.com/2024...prises-including-updates/ en daar staat wel iets interessants in m.bt. 24H2

[Afbeelding]

[ Voor 15% gewijzigd door TheVMaster op 07-06-2024 10:12 ]

Nogne schreef op dinsdag 18 juni 2024 @ 13:09:
Hier gelukkig nog op de oude layout, hopelijk is in de nieuwe layout niet standaard alles ingeklapt zoals in Entra het geval is.

makooy schreef op dinsdag 6 augustus 2024 @ 14:02:
[...]


Een Company Portal enrollment op een device welke niet supervised is(dus ook niet in ABM staat) zou toch altijd een Personal "Ownership" moeten krijgen?

Anders wordt het filteren tussen "Supervised" en "BYOD" ook een lastig verhaal omdat er geen andere verschillende filters mogelijk zijn.

Blokker_1999 schreef op donderdag 22 augustus 2024 @ 11:31:
I found the issue

Het is geen probleem met de apparaten
Het is geen probleem met profielen of settings
Het is ook geen probleem met Intune, of misschien wel?

Ik probeer even een andere test account, en alles werkt

Op de standaard account staan 4 iPhones terwijl de limiet 5 is en als ik op alle devices in intune zoek op die gebruikersnaam vind ik er 12. Toch lijkt er ergens een limiet getriggered te zijn. Dat mag ook wel eens duidelijker gemaakt worden, en nu maar verder zoeken totdat ik die limiet gevonden heb.

[ Voor 22% gewijzigd door nextware op 22-08-2024 11:58 ]

nextware schreef op woensdag 4 september 2024 @ 13:36:
[...]


Ik heb de laptop net aangesloten op mijn netwerk thuis maar ook hierin kan de service geen verbinding maken (error 0xD0000272). Een collega heeft een call ingelegd bij Microsoft. Maar eens even kijken wat eruit komt..

[ Voor 6% gewijzigd door nextware op 06-09-2024 08:24 ]

HKLM_ schreef op dinsdag 1 oktober 2024 @ 19:35:
[...]


Mag hopen dat je WUFB of autopatch zo hebt ingesteld dat het nog niet naar je clients gaat. Toch? 😳

[ Voor 24% gewijzigd door Blokker_1999 op 01-10-2024 19:40 ]

HKLM_ schreef op dinsdag 12 november 2024 @ 19:40:
[...]


hehe je zit er niet ver naast meer een applicatie die zegt werk op chrome anders geen support....
Ik ben maar extern dus die battle ga ik niet voeren nu, ik las ook iets over de Enterprise console van google maar dat is nog wat vaag voor mij (eigenlijk de hele google suite) en dat hou ik liever ook zo haha

1

"C:\Program Files\Google\Chrome\Application\chrome.exe" --app=https://www.applicatieurl.nl

[ Voor 15% gewijzigd door Quad op 12-11-2024 19:55 ]

HKLM_ schreef op dinsdag 12 november 2024 @ 19:30:
Iemand hier goede ervaringen met het managen van Google chrome in de organisatie via Intune. Ik heb de SSO plugin geinstalleerd dit werkt wel aardig maar ben vooral benieuwd hoe andere organisaties chrome managen.

[ Voor 6% gewijzigd door ibmpc op 13-11-2024 01:28 ]

HKLM_ schreef op vrijdag 13 december 2024 @ 15:16:
Iemand deze nieuwe baselines al gespot? De documentatie pagina's zwijgen tot nu toe.

[Afbeelding]

Quad schreef op vrijdag 27 december 2024 @ 11:06:
Wat kost de connected cache? Je hebt toch Azure resources nodig? Ik zie de teller daarvoor dan al oplopen.

HKLM_ schreef op vrijdag 27 december 2024 @ 20:12:
In ander News iemand de POC Entra Device Compliance Bypass gezien of al geprobeerd?

https://github.com/zh54321/PoCEntraDeviceComplianceBypass

HKLM_ schreef op vrijdag 27 december 2024 @ 20:16:
[...]


Ik bedoel er mee aanmelden in autopilot de passkey staat op je iPhone of iOS device in de Authenticator app.

[ Voor 9% gewijzigd door ibmpc op 27-12-2024 20:27 ]

[ Voor 11% gewijzigd door Blokker_1999 op 18-03-2025 16:47 ]

nickertNL schreef op maandag 26 mei 2025 @ 16:58:
[...]


Heb je ook logging aan het script toegevoegd? Lijkt mij dat het onder een andere context uitgevoerd word als verwacht. Let ook op dat inderdaad vanuit IME vaak toch de 32 bit powershell gestart word. Wat ik zelf nog wel eens doe is een .bat file in de application zetten als install command. Vanuit daar trap ik dan de 64bit powershell met het script af.

1

C:\Windows\sysnative\WindowsPowerShell\v1.0\powershell.exe

Gr4mpyC3t schreef op maandag 26 mei 2025 @ 19:24:
[...]


Hoe ziet de installatiestring van je applicatie er uit? Het eerste waar ik aan denk is de execution policy van PowerShell die dan niet op ‘bypass’ staat.

Sjod schreef op maandag 26 mei 2025 @ 21:24:
[...]


Utf encoding in het script ? (Wat volgens mij bij een win32 app niet zou moeten uitmaken maar toch)

Waarom doe je zo’n script via een app en niet gewoon via de script functie ? (Uit nieuwsgierigheid)

wat config die we sowieso noodzakelijk hebben (zo moeten we de schijf partitioneren want we hebben software die een folder op E:\ verwacht)

Blokker_1999 schreef op donderdag 12 juni 2025 @ 12:01:
Deze is ook nieuw, krijg net een screenshot doorgestuurd van een collega die het Win11 start menu toont met in de recommend een shortcut om Whatsapp te installeren. We blokkeren nota bene heel de MS Store net om dit soort van crapware van onze systemen te houden, en dan gaat MS het er alsnog in adverteren. Iemand enig idee of dit tegen te houden is?

[ Voor 7% gewijzigd door Quad op 13-06-2025 16:11 ]

• Maak een working folder aan voor je app (ik gebruik meestal de winget ID ook als naam van de map)
• Plaats daarin de scripts
• Bewerk de scripts en in elk script zet je de value voor variable $programname naar de winget package ID
• Gebruik IntuneWinAppUtil.exe en maak een intunewin file aan met daarin de install.ps1 en uninstall.ps1 die je net bewerkt hebt
• Maak een win32 app aan
• Gebruik als Install command: %SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -executionpolicy bypass -command .\install.ps1
• Gebruik als Uninstall command: %SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -executionpolicy bypass -command .\uninstall.ps1
• Voor detection rules maak je gebruik van het custom detection script check.ps1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

$ProgramName = "Romanitho.Winget-AutoUpdate"

# resolve winget_exe
$winget_exe = Resolve-Path "C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_*_*__8wekyb3d8bbwe\winget.exe"
if ($winget_exe.count -gt 1){
        $winget_exe = $winget_exe[-1].Path
}

if (!$winget_exe){
    Write-Error "Winget not installed"
}else{
    $wingetPrg_Existing = & $winget_exe list --id $ProgramName --exact --accept-source-agreements
        if ($wingetPrg_Existing -like "*$ProgramName*"){
        Write-Host "Found it!"
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

Param
  (
    [parameter(Mandatory=$false)]
    [String[]]
    $param
  )
  
$ProgramName = "Romanitho.Winget-AutoUpdate"
$Path_local = "$Env:Programdata\Microsoft\IntuneManagementExtension"
Start-Transcript -Path "$Path_local\Logs\$ProgramName-install.log" -Force -Append

# resolve winget_exe
$winget_exe = Resolve-Path "C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_*_*__8wekyb3d8bbwe\winget.exe"
if ($winget_exe.count -gt 1){
        $winget_exe = $winget_exe[-1].Path
}

if (!$winget_exe){Write-Error "Winget not installed"}

& $winget_exe install --exact --id $ProgramName --silent --accept-package-agreements --accept-source-agreements --scope=machine $param

Stop-Transcript

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

$ProgramName = "Romanitho.Winget-AutoUpdate"
$Path_local = "$Env:Programdata\Microsoft\IntuneManagementExtension"
Start-Transcript -Path "$Path_local\Logs\$ProgramName-uninstall.log" -Force -Append

# resolve winget_exe
$winget_exe = Resolve-Path "C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_*_*__8wekyb3d8bbwe\winget.exe"
if ($winget_exe.count -gt 1){
        $winget_exe = $winget_exe[-1].Path
}

if (!$winget_exe){Write-Error "Winget not installed"}

& $winget_exe uninstall --exact --id $ProgramName --silent --accept-source-agreements

Stop-Transcript

[ Voor 9% gewijzigd door xven0mxz op 24-07-2025 20:18 ]

Drardollan schreef op donderdag 4 september 2025 @ 09:42:
Slag om de arm, maar mijn nieuwe apps verschenen net in mijn Company Portal. Of er heeft een proces gelopen om alles bij te werken of de boel is opgelost, benieuwd of jullie dit ook ervaren.