Toon posts:

[Intune] Bestaande devices en beveiliging

Pagina: 1
Acties:

Vraag

maandag 5 december 2022 16:00

Acties:
  • 0Henk 'm!
  • Dutch_guy
  • Registratie: September 2001
  • Laatst online: 31-03 10:36

Dutch_guy

WYSIWYG

Topicstarter
Ik ben mij aan het verdiepen in Intune. Nu ben ik bezig met een testmachine Windows 10 Pro. Die is in eerste instantie geïnstalleerd met een lokaal account.

Vervolgens heb ik mijn werkaccount toegevoegd via "Join this device to Azure Active Directory". Werkt allemaal prima, policies worden doorgevoerd, er worden wat apps geïnstalleerd, etc.

Ik kan inloggen via het werkaccount, welke uiteraard voorzien is van een wachtwoord en door middel van het lokale account.

Het lokale account is het eerste account en dus local Administrator. Als ik met dit account inlog, welke geen wachtwoord heeft, dan kan ik bij de gegevens van het werkaccount en is Office gekoppeld met het werkaccount.

Niet helemaal de bedoeling uiteraard. Zo kan men zonder authenticatie bij alle bedrijfsgegevens komen. Wat doe ik hier fout?

Pay peanuts get monkeys !

Alle reacties

maandag 5 december 2022 16:46

Acties:
  • 0Henk 'm!
  • musiman
  • Registratie: Maart 2000
  • Laatst online: 23-03 10:58

musiman

Dan zou ik wanneer ik jou was, maar heel snel een wachtwoord zetten op het eerste account.

Make music, not war

maandag 5 december 2022 16:52

Acties:
  • 0Henk 'm!
  • Dutch_guy
  • Registratie: September 2001
  • Laatst online: 31-03 10:36

Dutch_guy

WYSIWYG

Topicstarter
Maar dat heb ik niet onder controle.

Het idee is om een bestaande of nieuwe gebruiker zelf zijn werkaccount toe te laten voegen, waarna alles installeert, etc.

Als hij dan zijn lokale account niet beveiligd met een wachtwoord dan heb ik daar geen zicht op.

Pay peanuts get monkeys !

maandag 5 december 2022 22:06

Acties:
  • +1Henk 'm!
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 22-03 09:29

Linke Loe

Wat jij hier nodig hebt is Windows Autopilot. Hiermee kan een gebruiker (of een admin met behulp van pre-deployment) van begin tot eind een nieuw apparaat uitrollen, Azure AD joined maken en de nodige applicaties geinstalleerd krijgen, zonder de aanwezigheid van een lokaal admin account.

dinsdag 6 december 2022 10:05

Acties:
  • 0Henk 'm!
  • Dutch_guy
  • Registratie: September 2001
  • Laatst online: 31-03 10:36

Dutch_guy

WYSIWYG

Topicstarter
Linke Loe schreef op maandag 5 december 2022 @ 22:06:
Wat jij hier nodig hebt is Windows Autopilot. Hiermee kan een gebruiker (of een admin met behulp van pre-deployment) van begin tot eind een nieuw apparaat uitrollen, Azure AD joined maken en de nodige applicaties geinstalleerd krijgen, zonder de aanwezigheid van een lokaal admin account.
Klopt, maar dan praat je volgens mij altijd over een nieuw apparaat? Ik heb hier te maken met tientallen bestaande computers.

Pay peanuts get monkeys !

dinsdag 6 december 2022 21:57

Acties:
  • 0Henk 'm!
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 22-03 09:29

Linke Loe

Dutch_guy schreef op dinsdag 6 december 2022 @ 10:05:
[...]


Klopt, maar dan praat je volgens mij altijd over een nieuw apparaat? Ik heb hier te maken met tientallen bestaande computers.
Nee hoor, Autopilot werkt niet alleen met nieuwe apparaten. Sterker nog het werkt juist makkelijker met bestaande apparaten die al in Intune staan. Door deze apparaten lid te maken van een groep, waar je in Autopilot een deployment profile aan toekent, kun je ervoor zorgen dat de apparaten geconverteerd worden naar Autopilot devices. Anders moet je namelijk zelf de hardware hashes opvragen en importeren. Het opvragen van hardware hashes op bestaande apparaten gebeurt door middel van een Powershell script.

Uiteraard is het wel noodzakelijk om het apparaat opnieuw te installeren (hetzij via een 'wipe' actie in Intune, opnieuw instellen vanuit systeemherstel, of een nieuwe kale Windows installatie doen), voordat Autopilot zijn werk kan doen.

woensdag 7 december 2022 11:08

Acties:
  • 0Henk 'm!
  • Dutch_guy
  • Registratie: September 2001
  • Laatst online: 31-03 10:36

Dutch_guy

WYSIWYG

Topicstarter
Met nieuw apparaat bedoelde ik eigenlijk een nieuwe installatie. Ik wil eigenlijk niet dat een pc verplicht opnieuw geïnstalleerd moet worden. Het kan namelijk ook iemand zijn privé laptop zijn.

Maar ik heb al een en ander gevonden en getest, je kan na het joinen een policy toevoegen dat iemand verplicht een wachtwoord moet instellen voor zijn lokale account en eventueel alle lokale accounts uit de groep Administrators halen. Gaat wel lukken zo.

Pay peanuts get monkeys !

woensdag 7 december 2022 15:42

Acties:
  • 0Henk 'm!
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 22-03 09:29

Linke Loe

Dutch_guy schreef op woensdag 7 december 2022 @ 11:08:
Met nieuw apparaat bedoelde ik eigenlijk een nieuwe installatie. Ik wil eigenlijk niet dat een pc verplicht opnieuw geïnstalleerd moet worden. Het kan namelijk ook iemand zijn privé laptop zijn.
Hmmm, iemands prive-laptop? Waarom zou je die Azure AD joined en als managed device in Intune willen hebben? Het is immers geen laptop van het bedrijf, dus hier heb je wel een privacy issue te pakken, als je het mij vraagt.

woensdag 7 december 2022 16:34

Acties:
  • 0Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad, niet doen. Ga dan voor bijv. MS Cloud-pc o.i.d.

Of je kunt er iig zo niet van uit gaan dat het device is te vertrouwen, geef dan niet meer toegang tot data of interne netwerken dan je een BYOD device zou geven.
Dutch_guy schreef op woensdag 7 december 2022 @ 11:08:
Maar ik heb al een en ander gevonden en getest, je kan na het joinen een policy toevoegen dat iemand verplicht een wachtwoord moet instellen voor zijn lokale account en eventueel alle lokale accounts uit de groep Administrators halen. Gaat wel lukken zo.
Waarom zou iemand dat op de privé laptop accepteren? En dan nog, het lost je probleem niet op dat men overal bij kan. Ook zonder admin rechten, waar al van alles kan zijn geïnstalleerd toen men wel die rechten had.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 7 december 2022 17:30

Acties:
  • 0Henk 'm!
  • Dutch_guy
  • Registratie: September 2001
  • Laatst online: 31-03 10:36

Dutch_guy

WYSIWYG

Topicstarter
Nou ja, misschien is een privé laptop inderdaad niet de bedoeling. Komt ook bijna niet voor eigenlijk. Maar wel dat iemand op zijn bestaande werklaptop al een lokaal account heeft met de nodige programma's etc. Daar ziet ik het niet zitten om een verse installatie uit te voeren.

1 van de vereisten is dat als een dergelijke laptop gestolen wordt er niet eenvoudig via een lokaal account men bij eventuele data kan van het werkaccount.

Pay peanuts get monkeys !

woensdag 14 december 2022 12:23

Acties:
  • 0Henk 'm!
  • Wylana
  • Registratie: April 2009
  • Laatst online: 00:53

Wylana

Dutch_guy schreef op woensdag 7 december 2022 @ 17:30:
Nou ja, misschien is een privé laptop inderdaad niet de bedoeling. Komt ook bijna niet voor eigenlijk. Maar wel dat iemand op zijn bestaande werklaptop al een lokaal account heeft met de nodige programma's etc. Daar ziet ik het niet zitten om een verse installatie uit te voeren.

1 van de vereisten is dat als een dergelijke laptop gestolen wordt er niet eenvoudig via een lokaal account men bij eventuele data kan van het werkaccount.
Ik denk dat jij diverse zaken door elkaar houd.
Wat wij bedoelen met toevoegen aan Autopilot, is dat je een laptop in het beheercentrum van Azure toevoegd. Niet dat je een hele nieuwe Windows installatie uitvoert op de laptop.

Zoals @Linke Loe al vermeld hier boven kan je via een Policy die zo inrichten dat als je de machines lid maakt van een groep, je die groep zo kan instellen dat ze toegevoegd worden aan Autopilot.

Ook kan je die machines handmatig doen via de optie "Toegang tot werk of School" in Windows en ze daar lid maken.

En mocht je snel een losse laptop MET nieuwe installatie willen toevoegen, kan je dat ook op deze manier doen: https://robinhobo.com/how...ws-autopilot-even-faster/

Daarmee hoef je niet de hash van de machine op te vragen, maar kan je door middel van het script opgeven dat hij direct moet verbinden met Autopilot.

Verder kan je in Autopilot (Intune/Azure) ook Groepsbeleid regels instellen zoals dat een Administrator account altijd een wachtwoord moet hebben, of dat een lokaal Administrator account standaard uitgeschakeld is en je alleen met een Office365 beheerders account kan inloggen en beheren.
Mogelijkheden zijn er genoeg.

Ik ben steenrijk....ik heb een grindpad!

woensdag 14 december 2022 17:25

Acties:
  • 0Henk 'm!
  • Dutch_guy
  • Registratie: September 2001
  • Laatst online: 31-03 10:36

Dutch_guy

WYSIWYG

Topicstarter
Ok, dus ik zal alle huidige en nieuwe laptops toevoegen aan Autopilot.

Bij een complete herinstallatie gaat de inrichting dan via Autopilot en is de gebruiker direct up en running. Eventueel zo inrichten dat de hardware-leverancier de hash toevoegt bij de levering van een nieuwe laptop.

Bestaande laptops (van het bedrijf) die niet opnieuw geïnstalleerd mogen worden gaan via de optie "Toegang tot werk of School" in Windows. En dan afdwingen dat een lokaal Administrator account uitgeschakeld wordt.

Pay peanuts get monkeys !

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee