Laptop opeens beheerd door organisaties

- welke organisatie?
- hoe kom je aan de laptop?
- hoe kom je aan de windows-installatie op de laptop?
- hoe merk je het precies?
- is een schone installatie een optie?

Btje schreef op donderdag 7 oktober 2021 @ 07:52:
Hij heeft ingelogd in office met school account. Dat heb ik verwijderd maar hielp niet. Als je dan opnieuw inlogt kun je een vinkje uit zetten dat dit account niet mag beheren. Dat hielp ook niet.

Mogelijk wordt de laptop dus nu door de school beheerd via Microsoft Intune. Als je dat niet wilt zal je de school moeten vragen het device uit hun systeem te verwijderen, zodat je weer zelf beheer kan plegen.

Dat zou wel wat zijn als je het beheer van een bedrijf zo makkelijk zou kunnen uitzetten. Je hebt 2 opties:

De 1e is al door @Microkid gegeven. De 2e is de laptop opnieuw installeren/resetten en erna niet meer de laptop koppelen aan het school account.

Als je bij een applicatie inlogt met het schoolaccount dan krijg je ook de vraag of het schoolaccount op de laptop gebruikt mag worden of alleen binnen de applicatie.

DutchKel schreef op donderdag 7 oktober 2021 @ 08:20:
Dat zou wel wat zijn als je het beheer van een bedrijf zo makkelijk zou kunnen uitzetten. Je hebt 2 opties:

De 1e is al door @Microkid gegeven. De 2e is de laptop opnieuw installeren/resetten en erna niet meer de laptop koppelen aan het school account.

Als je bij een applicatie inlogt met het schoolaccount dan krijg je ook de vraag of het schoolaccount op de laptop gebruikt mag worden of alleen binnen de applicatie.

Ik vind het eigenlijk vooral nogal wat, dat een bedrijf ineens jouw privé apparaat beheert als je 1 keer per ongeluk met een Office365 account van dat bedrijf inlogt. Waar geef je daar toestemming voor?

Maar blijkbaar beheert de school het zooitje, dus ik zou me bij de beheerder gaan melden om dit op te laten lossen. Ik gebruik ook wel wat Office365 accounts (van verschillende organisaties). Moeten die dan gaan vechten om wie mijn laptop mag beheren? Of doen ze dat voor het gemak allemaal dan maar? (NIet dat ik er iets van merk overigens, want ik log natuurlijk niet in met een Office365 account op mijn device. Ik gebruik ze alleen maar voor de Office365 applicaties van die organisaties.)

Bij de installatie van Teams meen ik krijg je de vraag of je je device wilt laten beheren door de organisatie waarbij je je aanmeldt. Gebruiker is dus helemaal zelf aan zet (geweest) bij het accepteren van dat "aanbod".

Anoniem: 39993 schreef op donderdag 7 oktober 2021 @ 08:48:
[...]

Ik vind het eigenlijk vooral nogal wat, dat een bedrijf ineens jouw privé apparaat beheert als je 1 keer per ongeluk met een Office365 account van dat bedrijf inlogt. Waar geef je daar toestemming voor?

Meteen na het aanloggen krijg je dan de vraag of het apparaat beheerd moet worden of niet, "use this account anywhere on your device"

Anoniem: 39993 schreef op donderdag 7 oktober 2021 @ 08:48:
[...]

Ik vind het eigenlijk vooral nogal wat, dat een bedrijf ineens jouw privé apparaat beheert als je 1 keer per ongeluk met een Office365 account van dat bedrijf inlogt. Waar geef je daar toestemming voor?

Maar blijkbaar beheert de school het zooitje, dus ik zou me bij de beheerder gaan melden om dit op te laten lossen. Ik gebruik ook wel wat Office365 accounts (van verschillende organisaties). Moeten die dan gaan vechten om wie mijn laptop mag beheren? Of doen ze dat voor het gemak allemaal dan maar? (NIet dat ik er iets van merk overigens, want ik log natuurlijk niet in met een Office365 account op mijn device. Ik gebruik ze alleen maar voor de Office365 applicaties van die organisaties.)

Dit is niet aan het bedrijf om het te kiezen. Microsoft heeft het gewoon zo ingebouwd.

Als je inlogt met een Microsoft Azure AD account in een applicatie van Microsoft (MS Office, MS Teams oid) dan krijg je de vraag of je alleen wilt inloggen voor die applicatie of voor het hele systeem.

De school beheert dit dus niet (bewust). Dit is gekozen door het account op heel windows te gebruiken. Je kunt ook zeggen: lees eerst eens alle teksten voordat je overal ja op klikt.

Het beheer van de school stelt waarschijnlijk ook helemaal niks voor. Ze zullen waarschijnlijk niet eens weten dat het apparaat wordt beheerd door MS Azure AD.

Het is voor bedrijven handig als een laptop wordt gestolen dat ze op afstand de laptop kunnen wissen (mits deze op internet wordt aangesloten) of afdwingen dat de data op de harde schijf wordt versleuteld.

@r!k schreef op donderdag 7 oktober 2021 @ 08:53:
[...]


Meteen na het aanloggen krijg je dan de vraag of het apparaat beheerd moet worden of niet, "use this account anywhere on your device"
[Afbeelding]

Ah kijk, er wordt dus expliciet om toestemming gevraagd. Maar als aanzetten zo kinderlijk eenvoudig is, is uitzetten natuurlijk net zo kinderlijk eenvoudig.

En dat lijkt het ook te zijn:

Using Settings App
As your device is now being managed by your organization, you must be able to confirm this information in Settings app. So open Settings app and go to Accounts > Access work or school. In the right pane, you should be able to locate the account you used to sign in to Microsoft Teams. Click on that account and then click Disconnect button. See detailed steps in this guide. A confirmation prompt may appear, so confirm the operation and your device will no longer be managed by your organization.

Anoniem: 39993 schreef op donderdag 7 oktober 2021 @ 09:00:
[...]

Ah kijk, er wordt dus expliciet om toestemming gevraagd. Maar als aanzetten zo kinderlijk eenvoudig is, is uitzetten natuurlijk net zo kinderlijk eenvoudig.

En dat lijkt het ook te zijn:


[...]

Klopt inderdaad. Kanttekening dat je dan Teams niet meer kan gebruiken (of je moet de webversie willen gebruiken).

Erg goed geregeld door Microsoft.

Btje schreef op donderdag 7 oktober 2021 @ 09:07:
ja dit heb ik idd gedaan met het account in office. Dus de normale office niet 356.

Maar dan nog bleef de laptop onde beheer. ok na een reboot.

Een schone install kan natuurlijk maar als ik het zo op kan lossen heeft dit voorkeur.

Ik zal vanavond het in teams bekijken en daar ook eens uitvinken. Hou jullie op de hoogte.


[...]

Ik krijg toch een beetje de indruk dat je op de verkeerde plaatsen zit te wroeten. Office.... Teams.... daar moet je in ieder geval niet zijn. Je wil je hele device loskoppelen van de Azure AD van school.

Mijn werklaptop zit overigens inmiddels ook in Azure AD, maar voordat ik dat het gedaan kon ik gewoon Teams gebruiken (de niet-webversie dus). Ik moest dan alleen gewoon inloggen in Teams. Niet dat ik zin heb om dat nu te gaan testen.

Ik log ook bij Teams in met verschillende accounts welke ik bij klanten heb. Maar ik koppel die accounts nooit aan Windows aangezien ik niet wil dat de laptop door de beheerders van klanten wordt beheerd.

Of je het account zomaar kunt ontkoppelen durf ik eigenlijk niet te zeggen, het zou namelijk een beveiligingsrisico zijn aangezien apparaten vaak met een reden door een bedrijf worden beheerd. Ik kan mijn laptop echt niet meer ontkoppelen voor het beheer door mijn eigen bedrijf. Het lijkt me dus onlogisch dat het zomaar mogelijk is om te ontkoppelen.

Het kan wellicht wel via een policy worden ingesteld door het bedrijf/school, maar dan is de vraag of ze dat wel correct hebben ingesteld.

Btje schreef op donderdag 7 oktober 2021 @ 09:07:
ja dit heb ik idd gedaan met het account in office. Dus de normale office niet 356.

Maar dan nog bleef de laptop onde beheer. ok na een reboot.

Een schone install kan natuurlijk maar als ik het zo op kan lossen heeft dit voorkeur.

Ik zal vanavond het in teams bekijken en daar ook eens uitvinken. Hou jullie op de hoogte.


[...]

Heb je in de windows 10 instellingen wel het werk en school account verwijderd?

How to remove your work or school account:
Click Start then Settings.

Click Accounts on the Settings window.

Click the Access Work or School tab.

Select the account you wish to remove and click Disconnect.

Confirm you want to remove the account.

[ Voor 19% gewijzigd door HKLM_ op 07-10-2021 09:26 ]

Btje schreef op donderdag 7 oktober 2021 @ 09:07:
ja dit heb ik idd gedaan met het account in office. Dus de normale office niet 356.

Maar dan nog bleef de laptop onde beheer. ok na een reboot.

Een schone install kan natuurlijk maar als ik het zo op kan lossen heeft dit voorkeur.

Ik zal vanavond het in teams bekijken en daar ook eens uitvinken. Hou jullie op de hoogte.


[...]

Vziw zal je sowieso even Teams moeten verwijderen of iig volledig uitloggen. In Teams zit bedrijfsdata/school data en de koppeling met Intune komt meestal daaruit voort.

Btje schreef op donderdag 7 oktober 2021 @ 09:30:
Ja, dat hielp niet. Dat account komt terug als je weer inlogt in office en dan het vinkje laat beheren uit zet.


[...]

Kan je in een admin cmd dit commando eens draaien en de output posten?

dsregcmd /status

Hiermee kan je opvragen hoe en waarmee hij geconnect is

Wat je ook nog kan checken is de company portal. https://portal.manage.microsoft.com/ Als ze dit aan hebben staan kan je daar ook je devices terug vinden als het goed is.

[ Voor 18% gewijzigd door HKLM_ op 07-10-2021 09:43 ]

@r!k schreef op donderdag 7 oktober 2021 @ 08:53:
[...]


Meteen na het aanloggen krijg je dan de vraag of het apparaat beheerd moet worden of niet, "use this account anywhere on your device"
[Afbeelding]

Je krijgt die vraag alleen iedere login weer opnieuw. En met vinkje standaard ingeschakeld en geen optie om permanent nee te zeggen, verbaast het me dat deze vraag niet vaker langskomt...

Ik vermoed dat je via Settings -> System moet zoeken, overigens, maar het hangt af van instellingen van school uit of je zelf enrollment kan opzeggen, denk ik. Dus inderdaad: vermoedelijk uiteindelijk kwestie van beheerder mailen.

Anoniem: 316512 schreef op donderdag 7 oktober 2021 @ 09:04:
[...]

Klopt inderdaad. Kanttekening dat je dan Teams niet meer kan gebruiken (of je moet de webversie willen gebruiken).

Erg goed geregeld door Microsoft.

Dan gebruik je toch de webversie? Het enige wat ik daarin mis is dat je de achtergrond niet kan blurren of aanpassen dus voor een vergadering even controleren waar je gaat zitten

Marzman schreef op donderdag 7 oktober 2021 @ 10:04:
[...]

Dan gebruik je toch de webversie? Het enige wat ik daarin mis is dat je de achtergrond niet kan blurren of aanpassen dus voor een vergadering even controleren waar je gaat zitten

De webversie werkt inderdaad best prima. Sterker nog, de desktop client is volgens mij gewoon een shell om de webversie heen.

Nopheros schreef op donderdag 7 oktober 2021 @ 10:09:
[...]


Zoals hierboven al is aangegeven, je zoon heeft de laptop zelf (per ongeluk dus blijkbaar) ingeschreven. Het beheer zal verder ook vrij minimalistisch zijn aangezien het geen bedrijfslaptop is, je kunt eventueel zelf ook zien welke applicaties en policies er worden uitgevoerd op de laptop.

Om en apparatuur uit te schrijven uit Endpoint Manager (Intune) kun je de bedrijfsportal downloaden vanuit de Microsoft Store. Laat je zoon daarop inloggen en ga vervolgens naar apparaten. Daar zie je alle apparaten die door het account van je zoon zijn ingeschreven en je kunt de laptop hier ook verwijderen.

Als je dat gedaan hebt is het apparaat uitgeschreven en wordt niet meer beheerd door de organisatie.

Hier zou ik echt mee oppassen. Met Intune kan je een machine remote wipen, diverse policies uitrollen etc. Dat het geen bedrijfslaptop betreft betekent niet dat een beheerder een (mis)configuratie kan uitvoeren die toch voor ongewenste resultaten zorgt - al dan niet in de toekomst.

[ Voor 56% gewijzigd door Anoniem: 316512 op 07-10-2021 10:39 ]

Ik heb gisteren hetzelfde probleem opgelost op mijn privé systeem:

• Uitloggen teams
• Uitloggen Office (met je werk/school account)
• Verwijder het account in Settings -> Email & accounts
• Verwijder het account in Settings -> Access work or school

Nu kun je opnieuw inloggen bij Teams. Het vinkje uitzetten is echter niet voldoende: dan ga je alsnog inloggen bij alle andere microsoft apps, wordt het account aan je systeem gelinked, etc. Je moet ook nog klikken op This app only, ipv het vinkje uitzetten en op "Yes" klikken.

Als het goed is, logged hij dan alleen in op Teams, en heb je geen gedoe met beheer of je schoolaccount in andere apps (zoals Word of een OneDrive locatie die je niet kan verwijderen).

Btje schreef op donderdag 7 oktober 2021 @ 07:52:
Mijn vraag

De laptop van mijn zoon is opeens onder beheer van een organisatie terwijl het een prive laptop is.

Relevante software en hardware die ik gebruik

Windows 10

Wat ik al gevonden of geprobeerd heb

Hij heeft ingelogd in office met school account. Dat heb ik verwijderd maar hielp niet. Als je dan opnieuw inlogt kun je een vinkje uit zetten dat dit account niet mag beheren. Dat hielp ook niet.

Ik heb ook een lokaal account aangemaakt dat hielp ook niet.

heeft met Intune te maken, vraag de IT van de school om de betreffende computer te verwijderen.

Heb je al gekeken bij windows referentiebeheer?
soms staan hier toch nog (on)gewilde account koppelingen.

Je kan geen Intune eropzetten, dat doet de organisatie voor je.

Wat hier speelt is dat de organisatie waarschijnlijk persoonlijke devices niet heeft geblokkeerd waardoor iedereen dus met een werk- of schoolaccount zijn eigen privé werkplek gelijk kan laten beheren door Intune.

Bij ons staat persoonlijke devices geblokkeerd en kan er alleen door bepaalde personen apparaten geregistreerd worden in Intune om deze zaken te voorkomen.

@r!k schreef op donderdag 7 oktober 2021 @ 08:53:
[...]


Meteen na het aanloggen krijg je dan de vraag of het apparaat beheerd moet worden of niet, "use this account anywhere on your device"
[Afbeelding]

Ik vind het wel bijzonder dat een vinkje met toch wel verregaande consequenties zo summier staat beschreven. 95% van de gebruikers heeft geen flauw idee wat hier staat en wat daar de gevolgen van zijn.

Puur en alleen het vinkje bij Teams heeft helemaal niet zo'n verregaande consequenties. Het is niet zo dat onze IT-beheerder ineens mijn privé systeem heeft kunnen "beheren" (wat die term ook mag betekenen in de context van de Teams melding).

Wat er wél gebeurd is, is dat Teams de mogelijkheid heeft om mijn werk account overal te integreren. Bij zoekresultaten in mijn startmenu kreeg ik ineens collega's te zien, en mijn default opslagplek werd de OneDrive van ons bedrijf.

Dus op zich valt het mee hoe extreem de gevolgen zijn: je systeem kan echt niet remote gewiped worden o.i.d. Het is natuurlijk wel erg invasief om ineens allemaal rommel van je werk in je privé spullen te zien, en als je even vlug een persoonlijk document opslaat, staat het in de OneDrive van je bedrijf!

Dat gezegd te hebben: dit was mijn persoonlijke ervaring met "het vinkje" van Teams. We weten natuurlijk nog steeds niet exact wat er aan de hand is met TS. En mocht iemand mijn eerdere post gemist hebben: let op dat het vinkje uitzetten alleen niet voldoende is. Je moet ook nog op This app only klikken om alle toegang en integraties te voorkomen.

[ Voor 9% gewijzigd door Iv00w op 07-10-2021 15:11 ]

Mania-92 schreef op donderdag 7 oktober 2021 @ 14:08:
[...]

Ik vind het wel bijzonder dat een vinkje met toch wel verregaande consequenties zo summier staat beschreven. 95% van de gebruikers heeft geen flauw idee wat hier staat en wat daar de gevolgen van zijn.

Ik denk dat de organisatie ook zelf iets duidelijker moet zijn hierin. De melding is wat mij betreft vrij prominent. Vanuit de organisatie kan ik het hartstikke goed begrijpen dat je zoiets dergelijks doorvoert (sterker nog, ik mag hopen dat je iets dergelijks geimplementeerd hebt). Maar wat betere communicatie had geen kwaad gekund.

Iv00w schreef op donderdag 7 oktober 2021 @ 15:09:
veel tekst.

In dit geval was de laptop onder beheer van Intune en is in dat geval wel degelijk te resetten op afstand door een beheerder.

[ Voor 4% gewijzigd door Nopheros op 08-10-2021 22:17 ]

Voor iedereen die aangeeft dat dit is hoe het werkt, dat is inderdaad de standaard instelling. Maar als organisatie (dus ook de onderwijsinstelling) kan je de registratie van personal devices blokkeren. Alleen vergt dat net wat meer configuratie en planning over het uitrollen van devices.

Zie onder andere https://samuelmcneill.com...ng-autopilot-enrollments/

Beste, ik lees dit ook. @Iv00w

En bij stap .. kom bij "Apparaten" dit knop tegen.
"Apparaat uitschakelen".

Als ik hierop klik, is dan mijn werkaccount dan losgekoppeld van mijn PC?

MedionAkoya schreef op zondag 10 oktober 2021 @ 21:26:
Beste, ik lees dit ook. @Iv00w

En bij stap .. kom bij "Apparaten" dit knop tegen.
"Apparaat uitschakelen".

Als ik hierop klik, is dan mijn werkaccount dan losgekoppeld van mijn PC?
[Afbeelding]

Lees de tekst die er boven staat

Mag ik even doorgaan op dtit voor mij relevante topic?

Ik heb onze gezins PC van een schone Windows installatie voorzien. Ik wil graag voorkomen dat door één van de gezinsleden de PC weer beheerd gaat worden door zijn/haar organisatie. School of Werk.
Is daar een manier voor?

Aangezien ik verantwoordelijk gehouden wordt voor het functioneren van de PC wil ik ook Admin worden van deze PC zodat bepaalde installatie/instellingen alleen door mij kunnen worden toegestaan/uitgevoerd.

Hoe pak ik dat aan en sla ik dan 2 vliegen in één klap?

Het woordje "beheerd door organisatie" is heel breed, bij ons zijn prive apparaten geblokkeerd maar toch krijgen ze de melding "beheerd door de organsatie" dat komt omdat je zoon/dochter tijdens installeren van Office365 niet oplet en het vlinkje aan laat staan dat "mijn pc" beheerd mag worden.

Je kan dit makkelijk weer ontkoppelen door naar werk en schoolaccount te gaan bij setting en op verbinding verbreken klikken, via bedrijfsportaal wat hier wordt aangeraden is helemaal niet nodig.

Het woordje "beheerd door" klinkt eng maar hoeft helemaal niks mee gedaan te worden.

[ Voor 23% gewijzigd door mr_evil08 op 21-01-2023 12:42 ]

HKLM_ schreef op zaterdag 21 januari 2023 @ 12:42:
[...]


Een beetje organisatie heeft het gewoon dicht staan dat privé devices geregistreerd kunnen worden.

Bij ons staat het ook dicht maar toch geeft de client aan "beheerd door" als de gebruiker niet oplet tijdens installatie, de privé werkplekken staan bij ons niet in intune.

Gewoon opletten als je Office/Onedrive/Teams installeert met het account van werk/school dan gebeurd dit niet, opletten dat je kiest tijdens installatie "nee alleen deze App" en waarom "alleen deze app" dat heeft te maken met de licentie die aangeboden wordt, je weet wel het gratis office pakket bijvoorbeeld.

Zodra je van werk/school gaat en het account wordt dichtgezet zal office licentie ermee stoppen na x periode en is dan alleen nog read only.

Het is een misvatting dat "de organisatie zijn zaken niet op orde heeft".
(wanneer de werkplek wel in Intune staat ziet de gebruiker dat aan als hij zijn laptop opstart en moet inloggen met zijn werk/school account voordat die naar het bureaublad gaat).

[ Voor 58% gewijzigd door mr_evil08 op 21-01-2023 12:57 ]

Ik denk (MAAR CORRIGEER ME AUB) dat als je jezelf administrator houdt, en je huisgenoten gewoon gebruiker maakt, dat je al een heleboel beheerproblemen voorkomt.
@Taan

zetje01 schreef op zaterdag 21 januari 2023 @ 14:07:
Ik denk (MAAR CORRIGEER ME AUB) dat als je jezelf administrator houdt, en je huisgenoten gewoon gebruiker maakt, dat je al een heleboel beheerproblemen voorkomt.
@Taan

Yep: Local administrative privileges are required when enrolling an already configured Windows 10 device in Intune.