Microsoft Intune ervaringen topic

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen?

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:17:
[...]


Hebben jullie dat script lokaal gedraaid of via Azure Automation?

HKLM_ schreef op Wednesday 6 October 2021 @ 11:34:
[...]


maar dan moeten de HWID's al in Intune staan toch? of regel je dat dan ook met de JSON?

[Voor 12% gewijzigd door TheVMaster op 06-10-2021 11:38]

HKLM_ schreef op Wednesday 6 October 2021 @ 11:40:
[...]


haha copy-pase van vertaalde microsoft pagina's

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen?

D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)

[Voor 6% gewijzigd door Hann1BaL op 02-11-2021 14:46]

D_Jeff schreef op Tuesday 2 November 2021 @ 14:50:
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

Bij mijn vorige opdrachtgever had ik een accountmanager van Dell gevraagd dat te doen. Reactie: "Wat is dat?"
En daarna was de bestelling al goedgekeurd. 125 desktopsje hardware-id extracten -- de werkdagen waren snel over, zeg maar. Wat een <*********> klusje

D_Jeff schreef op dinsdag 2 november 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan

D_Jeff schreef op dinsdag 2 november 2021 @ 15:01:
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk

Let op: openbaar topic!

nextware schreef op Tuesday 2 November 2021 @ 14:58:
[...]


Ik zal je een voorbeeld geven:

Eén van de apps vereist dat de Regional Settings op Dutch (Nederlands)* staan. Anders werkt die app gewoon NIET. Het is een op VB6 gebaseerde applicatie van ongeveer 15 jaar oud die ongeveer 20 DLL en OCX-bestanden vereist op het systeem. Ontwikkelaar van de app was een interne medewerker, maar die persoon is helaas ongeveer 7 jaar geleden overleden. En niemand wil zich eraan branden om te kijken of die vereiste er niet uitgehaald kan worden.

Geprobeerd om dit opgelost te krijgen met een configuration setting in EndPoint. Heb het na een week zoeken, testen, vloeken, tieren en zuchten maar opgegeven. Dat is gewoon niet mogelijk.

Die app wordt ook over een tijdje uitgefaseerd. Maar tot die tijd zijn we dus gebonden aan legacy GPO's.

* En das niet handig als je in een bedrijf werkt met medewerkers in het buitenland die deze app ook moeten gebruiken vanwege hun functie


[...]


Een beetje grote distri kan dit wel geregeld krijgen. Ik vermoed dat jouw opdrachtgever dan wellicht een ander bedrijf hebben waar ze hun inkoop doen. Gewoon die vraag daar neerleggen. Dan kan die partij dat ook gewoon aanvragen bij de distri waar ze hun spul inkopen.

Ik weet dat bijvoorbeeld een CentralPoint of een Supply Line dit zonder problemen voor je kunnen regelen.

D_Jeff schreef op Tuesday 2 November 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#

[Voor 14% gewijzigd door akimosan op 02-11-2021 18:50]

Jazzy schreef op woensdag 3 november 2021 @ 16:56:
[...]
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.

[...]
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.

[Voor 15% gewijzigd door Hann1BaL op 03-11-2021 16:59]

[Voor 13% gewijzigd door nextware op 07-11-2021 21:52]

[Voor 9% gewijzigd door D_Jeff op 08-11-2021 19:42]

D_Jeff schreef op maandag 8 november 2021 @ 19:32:
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.

-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook

Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten )

Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij

HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.

[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]

HKLM_ schreef op woensdag 26 januari 2022 @ 07:15:
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?

nextware schreef op woensdag 26 januari 2022 @ 07:43:
[...]


Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.

HKLM_ schreef op dinsdag 1 februari 2022 @ 19:43:
[...]


Verduidelijk je vraag wil je weten waarom we van password over gaan op pin of waarom we een startup pin / wachtwoord als vereiste hebben

HKLM_ schreef op dinsdag 8 februari 2022 @ 10:18:
[...]


Het is inderdaad een company policy dat we dit vereisen, we willen niet hebben dat er privacy gevoelige gegevens op straat komt na een diefstal van een laptop. De Pin is inderdaad een goede optie maar staat vanuit Intune alles toe dus ook 1,2,3,4,5,6 of 1111111111 en je weet hoe gebruikers zijn dan heb ik straks 100 laptops met 1,2,3,4,5,6. Vandaar dat we toch voor het wachtwoord gaan

HKLM_ schreef op Tuesday 8 February 2022 @ 10:18:
[...]


Het is inderdaad een company policy dat we dit vereisen, we willen niet hebben dat er privacy gevoelige gegevens op straat komt na een diefstal van een laptop. De Pin is inderdaad een goede optie maar staat vanuit Intune alles toe dus ook 1,2,3,4,5,6 of 1111111111 en je weet hoe gebruikers zijn dan heb ik straks 100 laptops met 1,2,3,4,5,6. Vandaar dat we toch voor het wachtwoord gaan

Hann1BaL schreef op Tuesday 8 February 2022 @ 15:25:
[...]


Ik vind het een uitstekend voorbeeld om die reden: Role based security lijkt me in de huidige tijd juist belangrijk en je wilt stricter omgaan met de devices en data van je executives, omdat die waarschijnlijk data met de grootste waarde hebben op hun devices en in hun accounts.

HKLM_ schreef op Tuesday 8 February 2022 @ 15:54:
[...]


Ja klopt wil full Intune gaan

[Voor 10% gewijzigd door D_Jeff op 15-04-2022 14:51]

D_Jeff schreef op vrijdag 15 april 2022 @ 14:16:
Goed, 3 verschillende machines, 1 account
En slechts 1 machine is succesvol "enrolled"

Machine 1:
Lenovo Thinkpad T480s || status: succes

Machine 2:
HP EliteDesk 800 G1 || status: Something went wrong, 80007002 (task failed to schedule)

Machine 3:
Surface Pro 7 || status: <zie HP>

Dsregcmd /debug /join laat de error zien "failed task to schedule"
Het feit dat de Thinkpad wel doorgaat en de andere 2 niet is like: wtf

Volgorde van uitproberen:
1) Surface pro 2) HP 3) Thinkpad

Nevermind:
Collega opent net (na een duvelse lach) een conditional access policy met een filter op Lenovo.
zucht

_Dune_ schreef op vrijdag 29 april 2022 @ 16:57:
Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.

Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuëren naar de laptops?

Weet jij zo welke GPO dat is, dan kan ik wel even kijken of ik die erin kan krijgen hier

[Voor 13% gewijzigd door TheVMaster op 29-04-2022 17:13]

akimosan schreef op vrijdag 29 april 2022 @ 17:04:
Je kunt ADMX templates gebruiken in Configuration Profiles:
https://www.nielskok.tech...configuration-via-intune/

[Voor 18% gewijzigd door TheVMaster op 29-04-2022 17:05]

HKLM_ schreef op vrijdag 29 april 2022 @ 17:47:
[...]


Die migrate policy werkt als een tier afgelopen week bijna al onze on-prem naar intune kunnen moven in 10 minuten

HKLM_ schreef op vrijdag 29 april 2022 @ 20:21:
[...]


We hebben deze (discussie) al een keer gevoerd
Iets met tijd en oude meuk waardoor ik een hybride nodig heb

HKLM_ schreef op vrijdag 29 april 2022 @ 20:21:
[...]


We hebben deze (discussie) al een keer gevoerd
Iets met tijd en oude meuk waardoor ik een hybride nodig heb

D_Jeff schreef op vrijdag 29 april 2022 @ 22:23:
@TheVMaster Dat is ook part of mijn job (ook bij verschillende opdrachtgevers)

HKLM_ schreef op maandag 24 oktober 2022 @ 18:55:
[...]


Ik heb afgelopen week iets in elkaar weten te knutselen, werkt nog niet 100% perfect zoals ik wil maar begin is er. Via PowerAutomate monitor ik de Autopilot groep in Azure AD. Als daar nieuwe devices worden toegevoegd (Dit gebeurt automatisch als er nieuwe devices worden geupload) dan zend PowerAutomate een bericht naar Microsoft Teams dat er nieuwe devices zijn toegevoegd.

DDX schreef op vrijdag 2 december 2022 @ 16:12:
Iemand toevallig ervaring met de Intune Update Policy for macOS ?

Iemand enig idee ? / Zie ik iets over het hoofd ?

[Voor 29% gewijzigd door FREAKJAM op 03-12-2022 10:00]

HKLM_ schreef op maandag 5 december 2022 @ 10:24:
[...]


Maar dan is het toch een zooitje, ik zou een dynamische groep aanmaken waar automatisch mijn mac devices in komen en die targeten. Dan zit je ook niet met “Not Applicable” windows devices in je rapportage.

RPHN schreef op woensdag 11 januari 2023 @ 15:20:
Het wordt echt tijd dat Microsoft een "Uninstall" button beschikbaar maakt in Company Portal. Dat is echt het enige nadeel wat ik heb als Sys Admin binnen Intune

Gewoon zoals Software Center zou heel fijn zijn

[Voor 14% gewijzigd door FREAKJAM op 11-01-2023 18:02]

RPHN schreef op woensdag 11 januari 2023 @ 15:20:
Het wordt echt tijd dat Microsoft een "Uninstall" button beschikbaar maakt in Company Portal. Dat is echt het enige nadeel wat ik heb als Sys Admin binnen Intune

Gewoon zoals Software Center zou heel fijn zijn

ReZpie schreef op donderdag 12 januari 2023 @ 18:10:
[...]


Op dit gebied komt er binnenkort een interssante oplossing van microsoft in general availabibilty.

Cloud laps.

YouTube: Windows LAPS New features: Manage the Local Admin Account Passwords ...

HKLM_ schreef op vrijdag 2 december 2022 @ 21:39:
[...]


Ja het is wel echt nodig, bij iphones is het net zo raar geregeld volgens mij… daar werkt de update policy ook niet zonder Supervised mode en die krijg je alleen via ren ABM of ASM enrollment.

Leuke van de MAC books is volgens mij dat je ze niet achteraf in ABM kan hangen maar dit direct bij aankoop moet…