Toon posts:

Microsoft Endpoint Manager ervaringen topic

Pagina: 1
Acties:

Onderwerpen




Microsoft Endpoint Manager is de strategische infrastructuur voor het beheren en beveiligen van de apparaten, apps en gegevens van uw organisatie. Daarnaast helpt Microsoft Endpoint Manager ervoor te zorgen dat uw eindgebruikers de beste ervaring hebben met de productiviteit.



Microsoft Intune: Intune is 100% een provider van cloudservices voor het beheren van mobiele apparaten (MDM of Mobile Device Management) en mobiele toepassingen (MAM of Mobile Application Management), voor uw apps en apparaten. U kunt er functies en instellingen op apparaten met Android, Android Enterprise, iOS/iPadOS, macOS en Windows 10 mee beheren. Intune kan worden geïntegreerd met andere services, waaronder Azure Active Directory (AD), verdedigingssoftware tegen mobiele bedreigingen, ADMX-sjablonen, Win32- en aangepaste LOB-apps en meer.

Configuration Manager: Configuration Manager is een on-premises oplossing voor het beheren van desktopcomputers, servers en laptops die zich op uw netwerk of op internet bevinden. U kunt deze cloud inschakelen voor integratie met Intune, Azure Active Directory (AD), Microsoft Defender for Endpoint en andere cloudservices. Gebruik Configuration Manager om apps, software-updates en besturingssystemen te implementeren. U kunt ook naleving controleren, query's uitvoeren en in realtime op clients reageren, en nog veel meer.

Co-beheer: met co-beheer combineert u uw huidige investering in on-premises Configuration Manager met de cloud omdat er gebruik wordt gemaakt van Intune en andere Microsoft 365-cloudservices. U kunt kiezen of Configuration Manager of Intune de beheerinstantie is die voor de zeven verschillende workloadgroepen moet worden gebruikt.

Desktop Analytics: Desktop Analytics is een cloudservice die kan worden geïntegreerd met Configuration Manager. Desktop Analytics biedt inzicht en intelligentie zodat u beter geïnformeerde beslissingen kunt nemen over de updategereedheid van Windows. De service combineert gegevens van uw organisatie met gegevens die zijn verzameld van miljoenen apparaten die zijn verbonden met de Microsoft-cloud. Ze geeft informatie over beveiligingsupdates, apps en apparaten in uw organisatie, en identificeert compatibiliteitsproblemen met apps en stuurprogramma's. Voer een test uit met apparaten die waarschijnlijk de beste inzichten bieden in assets in uw organisatie.

Windows Autopilot: met Windows Autopilot kunt u nieuwe apparaten installeren en vooraf configureren, zodat ze klaar zijn voor gebruik. Windows Autopilot is ontworpen om het gebruik van Windows-apparaten tijdens alle fasen van de levenscyclus te vereenvoudigen, voor zowel IT-medewerkers als eindgebruikers, vanaf de eerste implementatie tot het einde van de cyclus.

Azure Active Directory (AD) : Azure AD wordt gebruikt door de eindpuntbeheerder voor de identiteit van apparaten, gebruikers, groepen en meervoudige verificatie (MFA). Azure AD Premium, wat extra kosten met zich meebrengt, heeft extra functies om apparaten, apps en gegevens te beschermen, met inbegrip van dynamische groepen, automatische inschrijving en voorwaardelijke toegang.

Endpoint Manager-beheercentrum: het beheercentrum is een website die alles biedt wat u nodig hebt voor het maken van beleidsregels en het beheren van uw apparaten. Het maakt gebruikt van andere belangrijke services voor het beheer van apparaten, waaronder groepen, beveiliging, voorwaardelijke toegang en rapportage. In dit beheercentrum vindt u ook apparaten die worden beheerd door Configuration Manager en Intune (als preview-versie).



Als je nog geen ervaring hebt met Microsoft Endpoint manager en hier mee wil starten dan heeft microsoft een
Snelstartgids: Microsoft Intune gratis proberen hiermee kan je een trail tenant maken van 30 dagen. Zakelijke gebruikers kopen wat sneller een licentie maar als Endpoint beheerder of student kan je ook een Microsoft 365 Business Basic en een EMS E3 licentie aanschaffen dit kost je dan ongeveer 150,- per jaar.



Er is online heel veel te vinden over Endpoint manager hieronder een aantal variantenOok zijn er verschillende boeken welke je kunt gebruiken bijvoorbeeld de boeken van MS-100,MS-101, MD-100 en MD-101 zelf gebruik ik ook het boek learning microsoft endpoint manager





Een zeer uitgebreide uitleg over autopilot: Demonstrate Autopilot deployment

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

Gereserveerd

Als iemand zich geroepen voelt om mede TS te worden stuur dan een DM

[Voor 77% gewijzigd door HKLM_ op 06-10-2021 11:10]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • tdm850ed
  • Registratie: januari 2008
  • Laatst online: 09:56
HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Dit hebben wij recent gedaan door middel van een powershell script die de csv bestanden op een share zette.

Dit powershell script hebben we via onze huidige management oplossing (ivanti EPM) laten draaien op alle laptops.


Het gaat om het volgende script:

https://www.powershellgal...-WindowsAutoPilotInfo/3.5

Daarna de csv bestanden in bulk geupload naar het portal.

  • tdm850ed
  • Registratie: januari 2008
  • Laatst online: 09:56
HKLM_ schreef op woensdag 6 oktober 2021 @ 11:17:
[...]


Hebben jullie dat script lokaal gedraaid of via Azure Automation? :D
Script draaide lokaal op de laptop via de beheertool en de output werd opgeslagen op een share waar iedereen access naar toe heeft.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
HKLM_ schreef op Wednesday 6 October 2021 @ 11:34:
[...]


maar dan moeten de HWID's al in Intune staan toch? of regel je dat dan ook met de JSON?
Dat is met die JSON niet nodig. Je moet die JSON dus eerst genereren (lees ook Autopilot for Existing devices even door :+). Dit is overigens ook via ConfigMgr te regelen, door de Autpilot for Existing Devices TS te gebruiken.

Die doet niets anders dan Windows 10 installeren en die JSON op de juiste plek zetten. Die JSON bevat dus informatie over je AAD tenant en het Autopilot profiel. Superhandig, dan hoef je dus niet eerst de HWID's in Intune te importeren. En je kunt in het Autopilot profiel ook aangeven dat hij 'bestaande clients' om moet zetten naar Autopilot devices.

[Voor 12% gewijzigd door TheVMaster op 06-10-2021 11:38]


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
HKLM_ schreef op Wednesday 6 October 2021 @ 11:40:
[...]


haha copy-pase van vertaalde microsoft pagina's :P
:+ Dacht ik al, maakt ook niet uit. Ik moet altijd grinniken om die 'rare' vertalingen. Heb op m'n pc ook al decennia Engelstalige versies van Windows en krijg altijd jeuk als ik bij een klant ineens een NL versie moet gaan gebruiken. :?

  • nextware
  • Registratie: mei 2002
  • Laatst online: 13:59
HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Bestaande devices worden bij ons niet omgezet naar Autopilot. Alleen bij nieuwe laptops wordt er gebruik gemaakt van Autopilot. De hardware hash hiervoor wordt door onze supplier direct in onze Endpoint tenant geplaatst. Wanneer een bestaande laptop crashed en deze hoeft nog niet vervangen te worden wordt deze laptop nog via MDT opnieuw geïnstalleerd.

We maken nu nog gebruik van een Azure Hybrid AD-join omgeving welke we voor 31-12 aanstaande hopen te vervangen voor een full Azure-AD join omgeving.

En binnenkort gaan we ook kijken om desktop van Autopilot uit te rollen. De eerste testen leveren een totale installatie tijd van ongeveer 18 minuten op terwijl de MDT sequence ruim 40 minuten duurt.
nextware schreef op woensdag 6 oktober 2021 @ 16:42:
[...]


Bestaande devices worden bij ons niet omgezet naar Autopilot. Alleen bij nieuwe laptops wordt er gebruik gemaakt van Autopilot. De hardware hash hiervoor wordt door onze supplier direct in onze Endpoint tenant geplaatst. Wanneer een bestaande laptop crashed en deze hoeft nog niet vervangen te worden wordt deze laptop nog via MDT opnieuw geïnstalleerd.

We maken nu nog gebruik van een Azure Hybrid AD-join omgeving welke we voor 31-12 aanstaande hopen te vervangen voor een full Azure-AD join omgeving.

En binnenkort gaan we ook kijken om desktop van Autopilot uit te rollen. De eerste testen leveren een totale installatie tijd van ongeveer 18 minuten op terwijl de MDT sequence ruim 40 minuten duurt.
Dat in de tenant uploaden ken ik inderdaad, ik ga toch eens kijken hoe ik bestaande laptops makkelijk kan laten joinen (zonder veel werk) :P

Voor laptops welke nog niet in autopilot zitten maar je wel gaat herinstalleren is dit ook een oplossing. https://www.robinhobo.com...ws-autopilot-even-faster/ Dan kan je vanuit de window 10 setup via shift + F10 en wat commando's het device registreren en dan verder gaan :*)

Dit werkt ook en is best handig, als je Windows installeert en aangeeft dat het een werk device is (Even aanmelden met een gebruikersnaam en password) Als je dan in je Autopilot profiel hebt aangevinkt dat nieuwe devices ook een Autopilot device moeten worden dan ben je er direct :X

https://tweakers.net/i/53yVz3gu_dA0pwuKo-4VlP7nu28=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/QJ23tVU04pWZr742ba2lJkzC.png?f=user_large

[Voor 27% gewijzigd door HKLM_ op 06-10-2021 19:38]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • duronbug
  • Registratie: november 2000
  • Laatst online: 27-01 23:04

duronbug

Step on it.....!

Alternatieve optie om bestaande devices in Intune + Autopilot te krijgen is een provisioning package: https://docs.microsoft.co...lment/windows-bulk-enroll

In combinatie met deze setting:

https://tweakers.net/i/FXb_NoWkuaZ4ZM9e6lJS1RPiBm8=/800x/filters:strip_exif()/f/image/h9L4xJP0Bk4hseDJbL9L5H4O.png?f=fotoalbum_large

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 12:50

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Dit outsourcen we naar onze partners: direct 1 van de grote OEMs en een derde partij die de hardware voor ons koopt. Kost niet zoveel, maar dan ben je van het gedoe af.

Het hangt natuurlijk van de grootte van je vloot af :)

[Voor 6% gewijzigd door Hann1BaL op 02-11-2021 14:46]


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
D_Jeff schreef op Tuesday 2 November 2021 @ 14:50:
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

Bij mijn vorige opdrachtgever had ik een accountmanager van Dell gevraagd dat te doen. Reactie: "Wat is dat?"
En daarna was de bestelling al goedgekeurd. 125 desktopsje hardware-id extracten -- de werkdagen waren snel over, zeg maar. Wat een <*********> klusje
Dat hoeft toch niet zo heel veel werk te zijn? Desnoods de machines laten booten vanaf een stick en dan de hardware hash via een script naar een .csv op de USB laten schrijven.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 12:50

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+
Dat is het waar het dus mis is gegaan: non-alco....
Dat is waar je het probleem had kunnen oplossen. Je had er geen tijd mee gewonnen in dat geval.

  • nextware
  • Registratie: mei 2002
  • Laatst online: 13:59
D_Jeff schreef op dinsdag 2 november 2021 @ 15:01:
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk :P

Let op: openbaar topic!
Mijn werkgever ? Nee, das geen ISP :)
Ik werk in de aardappelverwerkende industrie ;)
Hann1BaL schreef op dinsdag 2 november 2021 @ 14:35:
[...]


Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:
[Afbeelding]
Thx die had ik ondertussen al gevonden en gepost :)

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
nextware schreef op Tuesday 2 November 2021 @ 14:58:
[...]


Ik zal je een voorbeeld geven:

Eén van de apps vereist dat de Regional Settings op Dutch (Nederlands)* staan. Anders werkt die app gewoon NIET. Het is een op VB6 gebaseerde applicatie van ongeveer 15 jaar oud die ongeveer 20 DLL en OCX-bestanden vereist op het systeem. Ontwikkelaar van de app was een interne medewerker, maar die persoon is helaas ongeveer 7 jaar geleden overleden. En niemand wil zich eraan branden om te kijken of die vereiste er niet uitgehaald kan worden.

Geprobeerd om dit opgelost te krijgen met een configuration setting in EndPoint. Heb het na een week zoeken, testen, vloeken, tieren en zuchten maar opgegeven. Dat is gewoon niet mogelijk.

Die app wordt ook over een tijdje uitgefaseerd. Maar tot die tijd zijn we dus gebonden aan legacy GPO's.

* En das niet handig als je in een bedrijf werkt met medewerkers in het buitenland die deze app ook moeten gebruiken vanwege hun functie :(


[...]


Een beetje grote distri kan dit wel geregeld krijgen. Ik vermoed dat jouw opdrachtgever dan wellicht een ander bedrijf hebben waar ze hun inkoop doen. Gewoon die vraag daar neerleggen. Dan kan die partij dat ook gewoon aanvragen bij de distri waar ze hun spul inkopen.

Ik weet dat bijvoorbeeld een CentralPoint of een Supply Line dit zonder problemen voor je kunnen regelen.
Tuurlijk, maar het een sub-set van de gebruikers is die dat soort legacy moet gebruiken (en die dus een move naar een moderne oplossing in de weg staan). Misschien kunnen ze dan met WVD overweg? Zo laat je je niet gijzelen door een paar legacy apps.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 28-01 16:32
D_Jeff schreef op Tuesday 2 November 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+
Vraagje. Is het misschien ook een idee dat je een bericht [quote] als je op iemand reageert? Nu moet ik iedere keer teruglezen, waar je op reageert O-) en ik ben van nature erg lui.

  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff

Drivemappings? Ja, moest bij ons op de zaak ook, hadden het liever niet gehad, maar ja..

Hadden problemen dat drives snel in disconnected state kwamen wanneer we de drivemappings via commandline/powershell deden
terwijl als we de drivemapping "met de hand" deden, bleef de mapping correct werken.
ook wil je de mappings kunnen pushen terwijl er geen connectiviteit is met het kantoornetwerk

Uiteindelijk hebben we een Win32app gemaakt met een powershell script welke de juiste waarden in keys onder

HKEY_CURRENT_USER\Network plaatst.
Vanaf de eerstvolgende logon zijn de mappings dan actief

Ik plaats straks even een (hele slechte) screenshot van wat ik bedoel en zal kijken of ik de code van het script hier ook kan plaatsen.
Nu eerst even hapje eten..

  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff
Drivemapping N:


Script: Omdat we gebruikmaken van persistent mappings moet UseOptions met de juiste HEX waarde worden gevuld. Die hex waarde stoppen we in een variabele.
De variabele kun je vervolgens hergebruiken. We gaan wel uit van single signon dus dat je de de mapping kunt doen met de UPN van de user die is ingelogd.
Meer drivemappings? Kopieer en plak de sectie vanaf New-Item onderaan het script en pas de driveletters en RemotePath aan

Create-NetworkDrives.ps1

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#


Deployment hebben we als script gedaan, ik schreef W32app met script maar is script only..

[Voor 14% gewijzigd door akimosan op 02-11-2021 18:50]


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 12:50

Hann1BaL

Do you stay for dinner?Clarice

Jazzy schreef op woensdag 3 november 2021 @ 16:56:
[...]
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.

[...]
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.
Ik werk ook niet bij InfoSec, maar ik praat wel tegen ze en vraag ze waarom. :)

Waarom niet gewoon via Conditional Access afdwingen dat devices Intune compliant moeten zijn en daar de security settings afdwingen op device niveau? Dat is toch eenvoudiger?

[Voor 15% gewijzigd door Hann1BaL op 03-11-2021 16:59]


  • nextware
  • Registratie: mei 2002
  • Laatst online: 13:59
Op dat punt heb je inderdaad dus wel een verbinding met je domein nodig. Als je dus remote wil inspoelen heb je dus wel een VPN nodig naar je domein 😉
Een device tunnel is in dit geval voldoende.

[Voor 13% gewijzigd door nextware op 07-11-2021 21:52]


  • akimosan
  • Registratie: augustus 2003
  • Niet online
@D_Jeff Zoals in dat artikel aangehaald kun je ook een sync forceren middels powershell en je eigen custom scheduler maken met bijvoorbeeld een scheduled task+powershell. Bijvoorbeeld:

powershell.exe -Command Import-Module MSOnline ; Start-ADSyncSyncCycle -PolicyType Delta

Of je dat moet willen is een 2e maar ik trap ook wel eens de sync af als ik net een On-Premise object heb aangepast en niet wil wachten tot de volgende sync. Dat is echter meer een on-demand situatie dan dat ik een aangepaste schedule heb lopen. Want wat is op een gegeven moment snel genoeg? Elke 10 minuten? elke 5? Elke minuut?

  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.

-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook


Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten :+ )

Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest

[Voor 9% gewijzigd door D_Jeff op 08-11-2021 19:42]

Hold. Step. Move. There will always be a way to keep on moving


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 12:50

Hann1BaL

Do you stay for dinner?Clarice

Enterprise blijft volgens mij ook op no staan by hybrid join, met een een AzureAdPRT heb je je SSO.

  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
@nextware
Even een update vanaf mijn kant: Ik heb inmiddels een succesvolle test gehad.
Dat script werkt prima en scheelt een behoorlijke hoeveelheid aan wachttijd.

Na inmiddels goed verder gezocht te hebben, heb ik ook m'n antwoord gevonden voor "AzureAdPr" - token:
Zodra de Autopilot Fase 3 afgerond heeft (en dus de achtergrond / desktop laat zien) -> Uitloggen en opnieuw aanmelden. Deze actie triggert onderwater een proces om het AzureAdPr-token te verkrijgen.
Ook dit heb ik succesvol getest (voor het uitloggen: AzureAdPr = NO ; na het uitloggen: AzureAdPr = Yes + time stamps)

Dank voor de hulp 8-)
Ik heb nu een prima basis om verder te gaan (inclusief het laten aanpassen van allerlei GPO's)

Hold. Step. Move. There will always be a way to keep on moving


  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
@HKLM_ Helaas gaat er een systeem tussen zitten: Ricoh / Canon FollowYou

En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen

Hold. Step. Move. There will always be a way to keep on moving


  • akimosan
  • Registratie: augustus 2003
  • Niet online
Probleem is dat voor de klassieke follow-me van Ricoh je wel een opdracht naar een shared printer op de printserver moet sturen omdat de (hebben we het hier over Equitrac?) printserver software een geautoriseerde opdracht moet hebben in de queue zodat hij weet

* wie de opdracht stuurt
* om hoeveel pagina's het gaat
* of het een kleurenafdruk of zwart wit betreft
* etc.

Dat zijn allemaal zaken die de afdruksoftware registreert en koppelt aan een gebruikersdatabase zodat ook zaken als verbruik en verrekening met eventuele costcenters kunnen worden gedaan.
Maar natuurlijk zeker zodat bekend is wie de opdracht stuurt zodat enkel DIE gebruiker vervolgens naar de printer gaat, zijn pas aanbiedt (of inlogt via control panel op de printer) en vervolgens zijn opdracht kan "ophalen" , dat is hoe die follow-me oplossing werkt.

De driver installatie is (an sich) het probleem niet, het toevoegen van een printer connection naar de shared printer wel.

En met de fixes voor PrinterNightMare die MS heeft doorgevoerd kunnen gewone gebruikers niet meer zonder admin rechten een shared printer toevoegen:

KB5005652—Manage new Point and Print default driver installation behavior (CV...

Bij mijn werkgever maken we ook gebruik van de Equitrac Follow-me oplossing en zouden we dit voor reguliere eindgebruikers enkel kunnen oplossen door de vermelde registry wijziging door te voeren en mitigations op de printserver toe te passen (enkel trusted printservers toestaan)
Die mitigations beschermen je echter niet volledig tegen de exploit. Daarom is er voor nu gekozen om printing naar de follow-me voor de Azure AD joined devices niet toe te staan (men kan afdrukken via onze Citrix omgeving)
Er wordt gekeken naar een cloud print management oplossing ter vervanging van de huidige Equitrac oplossing, details hierover zijn me nog niet bekend.

  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij

Hold. Step. Move. There will always be a way to keep on moving


  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
@DJ-B Dit heb ik een aantal keer getest zonder het uit te zetten (policies staan wel gereed mocht het echt te vervelend worden). Het enige dat een hikje heeft, is Onedrive.

Zodra ik later Onedrive alsnog aanmeld, zie dat ik het alsnog goed gaat.
---

Toch bedankt voor het meedenken !

Hold. Step. Move. There will always be a way to keep on moving


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 12:50

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Beetje offtopic wel, maar als je zoekt naar follow-me print oplossing, kijk ook zeker naar Uniflow. Qua licenties transparanter en doorgaans goedkoper en vind ik beter werken dan Papercut. (Papercut heeft wel ondersteuning voor meer type printers, al is dat niet helemaal zo zwart-wit, want wat zou moeten werken, werkt niet altijd. :)

  • jeroentjeh
  • Registratie: oktober 2005
  • Laatst online: 07:46
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :


  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?

Hold. Step. Move. There will always be a way to keep on moving


  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 14:49
HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:


De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"

[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 21:09:
MSI installers zijn de fijnste installers voor gebruik met Intune:
MSI uploaden, optioneel /q meegeven, toewijzen doen en klaar.

Daarom zat ik mij al af te vragen waarom je zo moeilijk deed :+
Haha ja ik ook :P is gelukkig ook geen productie maar lekker voor thuis :9

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • nextware
  • Registratie: mei 2002
  • Laatst online: 13:59
HKLM_ schreef op woensdag 26 januari 2022 @ 07:15:
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 12:50

Hann1BaL

Do you stay for dinner?Clarice

nextware schreef op woensdag 26 januari 2022 @ 07:43:
[...]


Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee