Windows Autopilot werkt niet zoals gewenst.

Ger0nim0 schreef op vrijdag 22 september 2023 @ 11:31:
Ik heb alles correct ingesteld binnen Windows Autopilot, maar ik denk dat ik iets mis, er onbreekt iets.

Hybrid Azure AD is domain joined plus Azure AD registered devices. So you will need to have connectivity to the on-prem active directory, and you also will need to have additional components such as Intune Connector for Active Directory.

1
2
3
4

reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD" /v TenantID /t REG_SZ /d "TENANTID" /f /reg:64 | Out-Null
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD" /v TenantName /t REG_SZ /d "tenantname.onmicrosoft.com" /f /reg:64  | Out-Null
Start-Sleep -Seconds 5
Start-ScheduledTask "\Microsoft\Windows\Workplace Join\Automatic-Device-Join"

[ Voor 38% gewijzigd door Hann1BaL op 22-09-2023 12:01 ]

Ger0nim0 schreef op vrijdag 22 september 2023 @ 12:14:
@Question Mark
Wat wij willen is dat wanneer wij inloggen met het admin account van Azure AD tijdens de installatie, is dat hij zowel AAD als AD joined.

Ger0nim0 schreef op vrijdag 22 september 2023 @ 13:22:
@Question Mark

Ja het liefst willen wij dat ook, dat alles geheel automatisch gaat, maar dat krijgen we nog niet helemaal lekker voor elkaar. Ik heb dit eerder moeten doen voor een klant, alleen dat was een volledige Azure omgeving en aan die devices zit een user gekoppeld, maar dat is nou net wat we niet willen. We willen er geen user aan koppelen.

[ Voor 11% gewijzigd door Hann1BaL op 22-09-2023 15:07 ]

[ Voor 60% gewijzigd door HKLM_ op 23-09-2023 08:36 ]

Ger0nim0 schreef op maandag 25 september 2023 @ 17:55:
@HKLM_

Ja wij hebben bepaalde policies op onze DC staan die wij willen pushen, dus vandaar.
Ja je kan ook policies pushen via Azure, maar er zal vast wel een reden zijn waarom ze bepaalde policies pushen via een DC en de andere via Azure.

[ Voor 9% gewijzigd door HKLM_ op 25-09-2023 18:34 ]

TheVMaster schreef op maandag 25 september 2023 @ 18:45:
[...]


U riep?

Nee, Hybrid moet je echt niet meer willen. Ik kan persoonlijk geen enkele reden verzinnen (Oke, als je te maken hebt met oude applicaties die nog echt kerberos authenticatie willen en niet om kunnen gaan met accounts/machines die niet bestaan in AD). Maar dan nog, misschien tijd om die applicaties te vervangen?

HKLM_ schreef op maandag 25 september 2023 @ 19:15:
[...]


Ik zou echt terug gaan en zeggen wat is de keuze om niet full AAD te gaan? Ik heb zelf ervaring met AutoPilot en hybride en vindt het een ramp. Wij dachten eerst ook dat we niet naar full AAD konden maar na een kritische blik en een tip van een externe zijn we toch over op AAD en dat werkt een stuk fijner kan ik je vertellen.

[ Voor 69% gewijzigd door Grvy op 25-09-2023 19:19 ]

Ger0nim0 schreef op maandag 25 september 2023 @ 18:41:
@HKLM_

Owh, dat wist ik nog niet, maar daar zal ik dan maar eens even naar gaan kijken.
Maar goed, ik kreeg de opdracht om een hybride omgeving op te zetten, dus dan doe ik dat maar haha.

Ger0nim0 schreef op woensdag 27 september 2023 @ 10:21:
@TheVMaster


[...]

Ja, de voornamelijkste reden is omdat we GPO's van de DC willen pushen.

[...]

Zodra we een OODB scenario nabootsen doet hij niet wat we hebben ingesteld, het automatisch uitrollen van alles.

[...]

Jawel, dat hebben we wel.

[...]


Nou, dan gaan we daar even naar kijken. Bedankt voor je input!


[...]

Een senior wilde dit perse en was/is ervan overtuigd dat dit het beste model was voor ons intern.

[...]

Geen probleem, zo houden we elkaar scherp!

[ Voor 14% gewijzigd door TheVMaster op 27-09-2023 11:07 ]

Ger0nim0 schreef op woensdag 27 september 2023 @ 14:04:
[...]

Ja we(het bedrijf) wilt een hybride omgeving zodat we Lokale GPO policies kunnen pushen.
Ik heb ze ook al gevraagd waarom we niet alles in Azure zetten of alles lokaal op een DC, maar daar kreeg ik niet echt een duidelijk antwoord op.. iets met dat het mogelijk te duur zou zijn..


[...]

Dan ga ik dat maar eens even doen.


[...]

Het zal ongetwijfeld met meer man besproken zijn, maar even los daarvan, hij heeft zijn redenen en ik moest het uitzoeken.

Ger0nim0 schreef op woensdag 27 september 2023 @ 14:24:
@TheVMaster
Ja dat vraag ik me dus ook af....

De achterliggende gedachte is dus dat ze bepaalde policies op de lokale DC hebben en die willen pushen en die willen ze niet in óók Azure hebben, want dat is dubbel werk, want dan moet je de policies zowel in Azure als op de DC aanmaken, maar dat slaat ook nergens op, want dat proces kun je ook automatiseren...

Vanochtend tehoren gekregen dat ze dit toch maar niet willen gaan doen, ze gaan kijken of ze alles vanuit ons huidige RMM pakket kunnen uitvoeren.

Ik dank iedereen voor zijn input, ik ben er wel wijzer op geworden...

[ Voor 17% gewijzigd door TheVMaster op 27-09-2023 15:13 ]

Nogne schreef op woensdag 27 september 2023 @ 15:17:
@Ger0nim0 je geeft aan dat tijdens OOBE je de optie selecteert voor "toegang voor werk of school". Als je die optie ziet, dan is je Autopilot profiel niet goed ingesteld op het apparaat.

En als je een hybrid enrollment wil realiseren (wat ik zeker afraad), dan moet je zoals hier eerder is aangegeven zorgen dat na de offline domain join er ook een sync plaats vind zodat je AD en Entra ID beide het apparaat kennen voordat de gebruiker aanmeld.

[ Voor 14% gewijzigd door Hann1BaL op 27-09-2023 15:28 ]

Ger0nim0 schreef op woensdag 27 september 2023 @ 16:38:
@Nogne

Ik heb ze vanochtend al wat andere opties voorgesteld en de nadelen verteld van een Hybrid omgeving,
maar ze bleven bij hun punt. Even later werd er besloten dat we dit toch niet gingen doen.. "We gaan kijken of we alles kunnen realiseren door optimaal gebruik te gaan maken van ons RMM pakket, sinds dat hetgeen is wat centraal moet komen te staan"

Hann1BaL schreef op woensdag 27 september 2023 @ 15:23:
[...]


Op zich kun je AP nog steeds starten als uiteindgebruiker met dat OOBE scherm.

Nogne schreef op woensdag 27 september 2023 @ 17:06:
[...]


Beetje off-topic voor dit onderwerp, maar zou je hier misschien wat meer informatie over kunnen delen? Want ik ging er altijd vanuit dat als je de "internet-check" hebt gedaan dat je dan niet meer het AP profiel kan laten ophalen door het apparaat.

HKLM_ schreef op woensdag 27 september 2023 @ 19:11:
[...]


Je registreerd eerst de devices welke je met autopilot wilt enrollen in Intune met de HWID's hierna krijgen ze in intune het deployment profile gekoppeld (met de settings die je wilt) Als je vervolgens een laptop pakt of installeert en verbinding maakt met het netwerk kan je of aanmelden met je work credentials of via pre-boot (5x windows key > kiezen voor pre-provision) de Autopilot starten. De laptop zal zelf de weg naar je Intune tenant vinden en het juiste profiel ophalen voor je laptop en verder gaan met de installatie.

Grvy schreef op maandag 25 september 2023 @ 19:15:
Om @HKLM_ en @TheVMaster nog wat te ondersteunen.
Je wilt Autopilot niet combineren met HAADJ dat is echt ten dode opgeschreven.

https://joymalya.com/just-another-haadj-vs-aadj-blog-post/


[...]


Dit was precies onze ervaring ook. Allemaal issues met HAADJ externe "Expert" uitgenodigd en die daagde ons uit om eens kritisch te kijken.

Brainstorm sessie erbij; 5 man intern van ons versus hem. Alles wat we zeiden was "oh, dat doe je zo in Intune" of "oh, maar waarom wil je dit? wat is het nut?" en opeens.. was het duidelijk.

Ter info internationaal bedrijf: 88 locaties, 4200 werkplekken.

Blokker_1999 schreef op woensdag 27 september 2023 @ 20:19:
[...]

Damn, ik wou dat wij zo een expert hadden gevonden. Vorig jaar in de lente zijn wij aan ons avontuur begonnen en uiteindelijk hebben ze heel dat project in mijn nek gedraaid. Al snel zat ik voor HAADJ op een struikelblok waar ik niet om heen geraakte en mede door de vele bronnen die allemaal aanraden om niet voor hybride te kiezen dus de keuze gemaakt om het niet hybride te doen. Een jaar lang hard aan gewerkt, tot op het randje van een burnout. Ik ga met vakantie, krijg vanuit het werk volledige radiostilte tot ik er via een omweg achterkom dat men in mijn afwezigheid beslist had om terug naar hybrid om te schakelen. Ik kan je zeggen dat daar toch even een bom ontplofte voor mij.

En ja, we hebben 1 afhankelijkheid waarvoor hybrid vandaag onomkomelijk lijkt, maar had ik dat vorig jaar geweten, hadden we nu al een oplossing ervoor gehad, het aanpassen van die app en de releases rond krijgen neemt ongeveer een jaar in beslag. Dat heeft men mij ontnomen. Die blogpost had ik trouwens ook al tegengekomen en heb die zelfs gebruikt gehad om de keuze voor AADJ mee te verdedigen. Maar het mocht allemaal niet zijn. Nu zit ik in met een omgeving die volledig klaar is voor AADJ, op het verwijderen uit het on-prem domein na, omdat we 1 custom applicatie hebben die gaat nakijken wat het geregistreerde domein voor het apparaat is om na te gaan of deze mag starten.

@Hann1BaL, bedankt voor die tip van die dependency chain, daar had ik zelf nog niet aan gedacht om dat daarvoor te misbruiken. Wel een misser van MS dat er daar geen betere oplossing voor te vinden is.

Hann1BaL schreef op woensdag 27 september 2023 @ 18:35:
[...]


User based enrollment kan op elk apparaat dat niet geregistreerd is in een tenant.
Pre-provisioning werkt alleen op apparaten die geregistreerd zijn in een tenant.
De registratie heeft als voordeel dat op het moment een een gebruiker bij het OOBE scherm de wifi verbindt, je het bedrijfsenrollment scherm krijgt waar je kunt inloggen.

Voor pre-provisioning kun je via het cmd.exe (Shift +F10) de netwerk settings openen en dan verbinding voordat je verder gaat met de provisioning.

(Doe je door: “start ms-settings:” (er is ook een directere methode, maar zou je evt nog andere settings kunnen doen)

Hann1BaL schreef op donderdag 28 september 2023 @ 08:36:
[...]


Wij zien toch dat dat vaak niet werkt, waarschijnlijk omdat mensen als bevestiging toch dan 1x op Next klikken en je geen intune pre-provisioning meer kan doen. De ervaring is dus toch net anders.

(We doen het overigens meestal via LAN om het gezeur te voorkomen)

TheVMaster schreef op donderdag 28 september 2023 @ 09:59:
[...]


Pre-provisioning werkt toch officieel (nog steeds) niet via wifi als ik het goed heb?

Network connectivity. Using wireless connectivity requires selecting region, language and keyboard before you're able to connect and start provisioning.

Hann1BaL schreef op donderdag 28 september 2023 @ 10:31:
[...]


Ja en dat is dus te vermijden met de Shift+F10 en dan “start ms-settings:” en dan verbinden met Wi-Fi.

HKLM_ schreef op donderdag 28 september 2023 @ 10:32:
[...]


Dat is leuk maar dat ga je niet in bulk zitten doen toch?

HKLM_ schreef op donderdag 28 september 2023 @ 10:32:
[...]


Dat is leuk maar dat ga je niet in bulk zitten doen toch?

Hann1BaL schreef op donderdag 28 september 2023 @ 10:44:
[...]


Voor bulk heb je uiteraard gewoon een setup met vaste netwerkaansluitingen. Zelf werk ik bij een bedrijf met zeer veel locaties waar het niet altijd eenvoudig is om even een vaste netwerkaansluiting te realiseren en test ik thuis ook veel en is het wel makkelijk dat het de laptops op het bureau kan zetten en aan kan zwengelen

We laten onze computerleveranciers, incl. De OEMs wereldwijd de preprovisioning doen voordat de laptops naar ons worden verscheept. Uiteraard moeten ze ook wel eens opnieuw geinstalleerd worden.

TheVMaster schreef op donderdag 28 september 2023 @ 10:34:
[...]


Idd, leuk in een PoC of testopstelling, maar niet leuk in productie waarbij je 100+ devices per dag wilt pre-provisionen.

Maar goed, het kan maar is officieel niet gesupport. Dat was eigenlijk ook wat ik bedoelde. Ik gebruik altijd alleen maar supported oplossingen ;-)

Hann1BaL schreef op donderdag 28 september 2023 @ 10:47:
[...]


Ja, ik denk altijd wel even na, en mee, wat supported betekent. Als je elke dag 100+ apparaten gaat doen, heb je wel meer nodig dan een bureautje.

De Wi-Fi mogelijkheid levert je vooral wat flexibiliteit op voor de randgevallen.

TheVMaster schreef op donderdag 28 september 2023 @ 10:47:
[...]


Dat laatste doe ik thuis ook, maar heb op m'n bureau gewoon een switchje staan Maar als je laptops opnieuw installeert, dan laat je een eindgebruiker toch gewoon een Autopilotreset of Wipe doen? Niet echt een reden om de pc te laten inleveren en dan IT een pre-provisioning te laten doen, toch?

Hann1BaL schreef op donderdag 28 september 2023 @ 10:49:
[...]


Niet overal hebben wij IT, dus geven we iemand even de instructies om een laptop te pre-provisionen voor een nieuwe gebruiker. Het is niet altijd zinvol of mogelijk om laptops te verschepen naar IT. Dit wordt dan vaak door iemand gedaan met wat meer IT kennis en IT helpt.

Iemand van facilities bijvoorbeeld.

TheVMaster schreef op donderdag 28 september 2023 @ 10:50:
[...]


Oke, interessant wel. Maar waarom zou je pre-provisioning doen dan? De user kan ook gewoon inloggen en dan even koffie gaan drinken/lunchen? Het proces is hetzelfde, of snappen gebruikers niet dat het dan 'even' kan duren?

[ Voor 16% gewijzigd door Hann1BaL op 28-09-2023 10:54 ]

Hann1BaL schreef op donderdag 28 september 2023 @ 10:52:
[...]

Dat heeft een paar redenen. Je laatste vraag is het antwoord op 1 van de redenen.
Een andere is: Onderdeel van onboarding is MFA setup en die MFA is vereist om AP te kunnen starten als gebruiker. Dus kip-ei verhaal.

Ook het bieden van een warm welkom ipv “ga eerst je eigen PC maar eens fixen” is daar onderdeel van.

TheVMaster schreef op donderdag 28 september 2023 @ 10:55:
[...]


Eh, maar onboarding van MFA kan toch gewoon in de OOBE? Of zit er een 'foutje' in jullie onboarding process?

Hoezo fix je dit trouwens met pre-provisioning dan?

Hann1BaL schreef op donderdag 28 september 2023 @ 10:57:
[...]


Nee dat kan niet. Dat kan alleen als je MFA oplossing van MS zelf is en onze Infosec heeft daar een andere oplossing voor gekozen om het gecompliceerder te maken. Dat is dus geen foutje in onboarding.

Dat fix je door iemand een computer met login te geven waarna je als eerste je MFA kunt gaan instellen op het 3rd party platform.

Uiteraard doe ik er alles aan om dit te “fixen” maar ik kan het niet beslissen alleen aankaarten.

TheVMaster schreef op donderdag 28 september 2023 @ 13:35:
[...]


Ik werk ook met grote complexe bedrijven en weet dus wel waar je tegenaan loopt. Al heb ik ook wel regelmatig het idee dat de IT afdelingen het ook allemaal niet weten en dus maar roepen dat het niet kan, vaak omdat er slecht gedocumenteerd is of omdat er nog net die ene legacy applicatie is die niet gaat werken op een AAD only device.

Voor device enrollment zijn er trouwens niet echt superveel redenen om niet Entra ID only te gaan. Maar goed, het is voor een groot deel ook vaak een gebrek aan een goede roadmap, kennis en verzin het allemaal maar.

Hann1BaL schreef op donderdag 28 september 2023 @ 15:21:
[...]


Ik heb het niet over niet kunnen in dat geval, maar vooral over: Het is geen prioriteit voor IT afdeling X, dus kunnen wij niet verder binnen afzienbare tijd.

Voor device enrollment en management zelf zou de keuze Entra ID only moeten zijn ja.
Helemaal mee eens

[ Voor 3% gewijzigd door TheVMaster op 28-09-2023 17:41 ]

TheVMaster schreef op donderdag 28 september 2023 @ 17:32:
[...]


Dus omdat het geen prio is, modderenze maar voort op iets wat er al is en knopen ze daar dan maar AAD aan vast. Klinkt wel als een goede visie.

Hann1BaL schreef op vrijdag 29 september 2023 @ 08:16:
[...]


Dit is te simpel. Zoals overal heb je voor alle plannen resources nodig en binnen IT moet je altijd afwegingen maken en het feit dat het voor ons fijner zou zijn, werkt het nu met hybrid ook, dus is het niet per se vreemd dat het voor andere teams geen directe prio heeft.

Gewoon teveel te doen

TheVMaster schreef op vrijdag 29 september 2023 @ 09:23:
[...]


Het klinkt alsof het allemaal silo's zijn die lekker hun eigen ding doen en niet echt als een mooie consistente IT afdeling :-)

Maar het klinkt ook weer niet vreemd hoor, zo gebeurt het op veel plekken. Afdelingen die weinig samenwerken en vooral met hun eigen ding bezig zijn (en dat prio geven, daar al te weinig tijd voor hebben en dus al helemaal niet met andere afdelingen mee kunnen denken).

Hann1BaL schreef op vrijdag 29 september 2023 @ 10:00:
[...]


Als je meer dan 1000 man in IT als geheel hebt werken, krijg je dat gewoon. Hoewel hard wordt getracht niet in silo’s te opereren heeft iedereen zijn doelstellingen en gelimiteerde resources. Inherent aan een groot bedrijf eerlijk gezegd

TheVMaster schreef op vrijdag 29 september 2023 @ 11:39:
[...]


Tuurlijk, dat is waar. Maar dat maakt het toch vaak wel een stuk minder efficient, in het geval van zaken die dus de eigen 'eilandjes' overstijgt.

Maar goed, snap ook wel dat je dat probeert te voorkomen, maar dat voorkom je nooit helemaal helaas.