Intune

MS Intune - Deep Dive

Welkom bij de MS Intune Deep Dive opleiding

Je wil de toestellen beheren met Intune MDM of MAM. Maar je hebt dit nog nooit gedaan of wil je kennis van de technologie even bijschaven aan de meest recente updates? Dan ben je op deze pagina al op de juiste plaats. Hier vind je alle informaties, video materialen, een reeks links naar MS Learn en een PDF versie van de informatie over MS Intune.

Indien je nog niet de M365 CLoud beheer intro sessies gevolgd hebt wordt aangeraden deze eerst te bekijken. De toegang tot deze opleiding zit mee in je opleiding en is dus ook toegankelijk.

Ook de opleiding Entra Deep Dive of een stevige kennis van Entra is zeker nodig om de groepen en MDM instellingen goed te zetten.

Neem je tijd want deze opleiding bevat 9 thema’s met in totaal meer dan 5 uur video materiaal.

Na deze opleiding ben je ook goed voorbereid om je verder te verdiepen in:

Bestanden & Links

Folder met documenten en vergrootglas - Dossier avec documents et loupe - Folder with documents and magnifying glass

Introductie

1.1 Introductie cursus

Welkom in de cursus Intune. In deze video bekijken we:

  • Welke onderwerpen komen aan bod in de cursus
  • Waar vind je al het materiaal?
  • Welke voorkennis moet je hebben?
  • Wat is basis en wat is uitbreiding?

1.2 Wat is MS Intune?

Wat zijn de functies van Intune en wat niet?

  • Wat is MS Intune en wat is het niet?
  • Waar kan je Intune plaatsen in M365 CLoud?
  • Welke soorten identiteiten worden beheerd?
  • Welke zijn de te volgen stappen?

 

Meer info:

Prepare 2 Intune

2.1 De intune voorbereidende checklist.

Alvorens je kan starten met Intune moet de omgeving goed gezet worden.

Maar wat moet je allemaal doen? We bespreken:

  • De verschillende stappen om je voor te bereiden
  • Wat houdt elke stap in?
  • Opgelet met Autopilot, je zal hier terug komen kijken.

 

Meer info:

2.2 Domeinnaam configureren

Alvorens je kan werken met een CLoud Service moet je domeinnaam hier aan gekoppeld worden. We bekijken hoe je dit specifiek doet voor Intune en waarom dit vaak voor problemen zorgt.

 

Meer info:

2.3 Licenties

2.4 Windows Subscription Activation

Windows upgrade licenties via subscription activation geven heel wat problemen tenzij je ze correct gebruikt.  We bespreken:

  • Wat is een OEM en een upgrade licentie?
  • Welke Upgrades kan/mag je doen?
  • Hoe download je de juiste ISO?
  • Hoe maak je een bootable stick?

Meer info:

 

2.5 Devices en enrollment restricties
(Belangrijk: Impact op Autopilot!)

Hoe verschijnen de devices in Entra? Welke type verbindingen en registraties zijn er? Maar ook hoe je gebruikers toelaat om dit te doen. We bespreken:

  • Joined, Regiterd of Hybride devices?
  • Hoe kies je om gebruikers te laten Entra ID Joinen?
  • Wat zijn de verschillende iconen?
  • Opgelet! Autopilot configuratie!

     

Meer info:

2.6 MDM Setting provisioning

Je toestellen zitten in Entra ID, een lokale AD of zijn BYOD toestellen. Je wil telkens de MDM instelling goed zetten. We bespreken:

  • MDM setting in Entra ID Joined toestellen?
  • Wie mag deze MDM Joined toestellen inschrijven?
  • Wat met hybride toestellen?

Meer info:

2.7 Device Enrollment Managers en
Platorm- of user inschrijvingsbeperkingen
(Belangrijk: Impact op Autopilot!)

Nu de devices in Entra kunnen binnenkomen en een connectie krijgen naar Intune moet je ook in Intune toestaan dat toestellen enrollen. Denk daarbij aan:

  • Apparaatinschrijvingsmanagers
  • Beperkingen per gebruiker
  • Beperkingen per platform

Dit is een uitermate belangrijk onderdeel om de enrollment van je toestellen goed te doen. Samen met video 2.5 en de systemen van Autopilot is dit een complex geheel.

 

Meer info:

2.8 Groepen

Groepen is een organisatorisch hulpmiddel maar ook een verplichting bij het gebruik van Intune. We bekijken:

  • Hoe maak je de groepen in Intune/Entra ID?
  • Dynamische en statische groepen.
  • Hoe een dynamische autompilot groep maken.

Meer info:

Device enrollment

3.1 Enrollment overzicht

Wat behandelen we in deze video?

  • Wat is een Intune enrollment?
  • Welke vormen van enrollment bestaan er?
  • Wat is MS Autopilot en v1 of v2?

Een introductie tot hoe en wat…

Meer info:

3.2 Autopilot v1 en v2

Wat is nu de befaamde Autopilot. We bekijken de 2 types van deployment alsook de twee versies van Autopilot:

  • Autopilot v1 (versie 2017)
  • Autopilot for Device preparation v2 (versie 2024)

Meer info:

3.3 Autopilot v1 Device registraties

Autopilot v1 heeft nood aan devices die op voorhand geregistreerd zijn. We bekijken:

  • Hoe registreer je toestellen?
  • Wat met bestaande toestellen?
  • Welke zijn de stappen die je doorloopt?
  • Wat met bestaande toestellen na 5 september 2024?

Meer info:

3.4 Autopilot v1 Implementatieprofielen

Zodra je toestellen opstarten wordt er een profiel toegepast om de configuratie en Intune onboarding uit te voeren. We bekijken:

  • User based of Device based?
  • Profiel instellingen?
  • Naamgeving van toestellen?
  • Wat bij overlap van profielen?

Meer info:

3.5 Autopilot v1 Enrollment Status Page

Voor beide mogelijke implementaties is een ESP nodig. Hiermee lossen we veel problemen en frustraties op tijdens het installeren van de computer. Merk op dat je deze stap pas kan afwerken wanneer je ook Apps hebt toegewezen. Je bekijkt deze dus best opnieuw na het thema Apps.

Meer info:

3.6 Autopilot v2

Wat is Autopilot v2? Na 7 jaar van ontwikkeling is men bij Microsoft helemaal van 0 begonnen. Een nieuwe manier, die het beste uit v1 overhoudt maar ook veel problemen oplost. Momenteel nog beperkt tot één scenario.

  • Wat is Autopilot device preparation?
  • Hoe een profiel instellen?
  • Hoe bedrijfs-ID’s aanmaken?

Meer info:

3.7 OOBE enrollment

Na Autopilot is de OOBE een tweede vorm van Enrollment. Hierbij gebruiken we niet langer de device herkenning maar wel onderdelen van het implementatieprofiel en de ESP instellingen. We bekijken:

  • Hoe OOBE configuratie gebruiken
  • Wat is het verschil met Autopilot?
  • Wat met de windows versie?
  • Probleem met User join – Entra en Intune settings.

 

3.8 Intune met Hybride toestellen

Heb je een lokale AD met Entra ID geconnecteerd?

Worden je toestellen ook mee gesynchroniseerd naar Entra ID?

Dan moet je enkel nog een Group-Policy instellen en klaar!

Meer info:

3.9 Manueel instellen

Soms werkt alles gewoon niet. En dan wil je een toestel volledig installeren als een lokaal windows toestel en pas nadien inschrijven in Intune.

Of je wil een toestel niet helemaal herinstalleren en de bestaande configuratie enrollen.

Dat kan op de manuele methode.

Let op: Users worden gezien als nieuwe users en krijgen een nieuw profiel.

3.10 BYOD toestellen

Tenslotte hebben we nog toestellen die we niet beheren.

Dit zijn de BYOD toestellen.

Ook deze kan je enrollen om beperkte mogelijkheden te bieden op gebied van beheer.

Devices beheren

4.1 Introductie

We hebben al een hele weg afgelegd.

In deze reeks kaderen we even:

  • Device compliance
  • Device Configuration Profiles
  • Device acties
  • Device eigenschappen.

Dit is één van de twee thema’s die je zeker zal boeien, want dit is het doel van MDM. De toestellen echt beheren

4.2 Device eigenschappen

Eenmaal onze toestellen in Intune zitten krijgen we een hoop eigenschappen te zien. We overlopen de verschillende rapportages en schermen in de Intune console hiervoor.

Meer info:

4.3 Device acties

Je wil natuurlijk ook beheerde toestellen kunnen onderhouden. Denk hierbij aan een reboot, een herinstallatie, een scan uitvoeren, ….

We bespreken ook het verschil tussen wissen, buiten gebruik stellen en autopilot reset.

Meer info:

4.4 Devices opruimen

Na verloop van tijd staan er teveel toestellen in Intune. Daarom kan je instellen dat deze toestellen automatisch gewist worden.

Ook bekijken we kort het concept van co-management.

Meer info:

4.5 Compliancy profielen en Entra ID

Wat zijn nalevingsbeleiden? Hoe gebruik je ze en hoe combineer je ze met Entra voorwaardelijke toegang.

Een uitbreiding die je misschien niet elke dag zal gebruiken, maar het is wel nuttig te weten dat het bestaat.

Meer info:

4.7 Configuration Profile (Template)

Er zijn twee soorten Intune Configuration Policy’s:

  • Template
  • Catalog

In deze video bekijken we de eerste versie.

We hebben ook een hele reeks Intune policy’s voor je gedocumenteerd die je kan gebruiken.

Meer info:

4.8 Configuration Profile (Catalog)

Er zijn twee soorten Intune Configuration Policy’s:

  • Template
  • Catalog

In deze video bekijken we de tweede versie.

We hebben ook een hele reeks Intune policy’s voor je gedocumenteerd die je kan gebruiken.

Meer info:

Windows Update for Business

5.1 Introductie tot WUFB

Updates zijn een opdracht die veel tijd in beslag neemt en vaak vergeten of genegeerd wordt. met WUFB is dit een eenvoudige taak die je éénmaal instelt en vervolgens mag vergeten.

Er zijn recent wijzigingen doorgevoerd aan de noodzaak aan extra WUFB profielen. DUs vergeet ze zeker niet allmaal in te stellen.

5.2 Monthly update ringen

Updates configureren begint bij het installatiegedrag van de updates. Dat configureren we in deze les. Dit wordt toegepast op de maandelijkse updates die je ontvangt. 

In de volgende video’s zullen we dieper ingaan op specifieke updates.

Meer info:

5.3 Windows Versie updates

Nu je de maandelijkse updates hebt ingesteld moet je ook de 6maandelijkse upgrades kiezen zodat al je toestellen eenzelfde windows versie hanteren.

Meer info:

5.4 Snellere patches (security)

Zijn maandelijkse updates van patches en security functies in Windows niet voldoende. Dan kan je er ook voor kiezen om snellere updates te installeren.

Meer info:

5.5 Driver updates

Drivers heb je kunnen aanvinken om te updaten, maar misschien wil je deze toch manueel goedkeuren? Daarom kan je hier kiezen om een manuele of automatische driver policy te maken. Deze heeft als noodzaak dat in de Update ringen de drivers ook geactiveerd zijn.

Meer info:

5.6 Connected Cache

Problemen met teveel toestellen die tegelijk updates en installaties uitvoeren. Vanaf 1000 toestellenkan je gebruik maken van een Connected Cache om zo de doorvoer op het netwerk te versnellen.

Meer info:

Software en Apps

Software en Apps bestaan er in veel soorten.

In dit thema spitsen we ons toe op windows toestellen.

Een overzicht van de werking:

Microsoft Intune

6.1 Software introductie

We hebben al een hele weg afgelegd.

In deze reeks kaderen we even:

  • Store Apps
  • M365 Apps
  • Edge Browser
  • MS Teams (afzonderlijk!)
  • Win 32 Apps en scripts
  • LOB Apps
 
Meer info:

Bij het moment van opname zijn er conflicten met de Europese comissie en Microsoft waardoor MS Teams niet langer via de Microsoft Business Apps installatie wordt uitgevoerd. Daarom is er een afzonderlijke video en installatie gemaakt hiervoor.

6.2 M365 Apps for business

M365 Apps for business (Office) kan je installeren in Shared Device modus en volledig configureren via MS Intune. Je kan de ingebouwde conceptor gebruiken of een eigen XML bouwen.

We bespreken alle stappen hiervoor en overlopen de installatie.

Meer info:

6.3 MS Teams installatie

Door klachten over de combinatie van MS Teams en O365 zijn er soms problemen met de installatie van Teams. Hierdoor wordt MS Teams niet altijd via de Microsoft Business Apps installatie uitgevoerd. Wij verkiezen om een afzonderlijke installatie hiervoor te maken.

6.4 Edge en de ESP afwerken

MS Edge is een basisapp die in Windows verweven zit. Deze verwijderen kan, maar heeft wat nadelen.

Omdat deze de basis browser is van Windows willen we deze ook instellen via Intune.

Vervolgens kunnen we de ESP pagina afwerken!

Keer terug naar video 3.5.
Ga niet langs start, je ontvangt geen …. 😊

6.5 Microsoft store apps (en Winget!)

Naast de microsoft eigen apps wil je ook apps uit de nieuwe MS Store downloaden en instellen. Dat doe je heel eenvoudig en is steeds up-to-date.

Deze is de geprefereerde methode om apps te installeren.

Meer info:

6.6 Line of Business Apps (MSI)

Niet alle software staat in de Microsoft Store.

Met een MSI ben je echter ook in enkele klikken klaar in MS Intune.

Wil je echter extra parameters meegeven of een licentiesleutel? Dan zal je de MSI moeten verpakken naar een Win32 App in de video hieronder.

Meer info: 

6.7 Win32 Apps en Scripts

Een laatste vorm zijn de eigen gebouwde apps, EXE installaties en scripts. Je hebt dan telkens nodig:

  • WinAppUtill
  • De installables
  • Silent Install commando
  • Detectiemethode

Meer info:

Onze Github:

Onze App Packages met package managers:

 

6.8 Package Managers

Wil je een Package manager gebruiken in combinatie met Intune? Dan leggen we je hier uit hoe dit werkt.

Onze Github:

Onze App Packages met package managers:

6.9 App configuration policy

Mobile Application Management met specifieke Configuratieprofielen is voorbijgestreefd. Maar je kan ze nog steeds gebruiken om apps te configureren op Android en iOS. Maar ook inWindows kan je nog steeds Microsoft apps verder verfijnen.

We bekijken kort hoe je dit gebruikt.

De meeste van deze instellingen voor windows kan je ook in de configuratie profielen terugvinden.

Meer info:

Platformscripts en herstelbewerkingen

7.1 Wat zijn scripts en remediations?

Je kan scripts ook als software pushen. Maar er zijn soms ook eenvoudige scripts die je éénmalig wil uitvoeren op elk toestel. Of wil je een frequentie inplannen? Daarom bekijken we het verschil tussen beide systemen in deze video.

7.2 Platform Scripts

Platofrm scripts, vroeger gekend als gewone scripts, orden maar één keer uitgevoerd op een toestel. We bekijken een voorbeeld van een script en hoe je dit aanmaakt als platformscript.

Belangrijk:

Bij het updaten van een script verwijder je het oude en maak je een nieuw script aan. Updates worden niet doorgevoerd op toestellen die het script al eens hebben gedownload. (Script ID = hetzelfde)

Meer info:

7.3 Remediation Scripts

Een herstelbewerking of remediation script kan je meermaals laten uitvoeren. Dit plan je in en kan je steeds aanpassen.

Je werkt ook met een detectiescript.

Dus leer hier hoe je deze scripts kan maken.

Meer info:

Onze voorbeeldscripts kan je hier vinden:

Endpoint Protection in Intune

8.1 Wat is EndPoint in Intune en Defender?

Eindpuntbegeiliging in Intune gaat vooral over het configureren van de ingebouwde anti-virus van windows. Denk daarbij aan:

  • De scanfrequentie
  • Wat met USB sticks?
  • Attack Surface Reductio regels.
  • Bitlocker instellen.

We bespreken het allemaal in dit thema.

8.2 Anti-virus

Hoe stel je de anti-virus in? Krijg je rapporten?

We bespreken hierbij alles rond de ingebouwde anti-virus oplossing.

NIET de Defender for Endpoint.

Meer info:

8.3 Attack Surface Reduction

Je kan ook voorkomen dt scripts in Excel worden uitgevoerd. Heb je al gedacht aan Javascript in Word documenten te blokkeren? Deze en meer opties om de uitvoer van aanvallen te voorkomen leer je in deze video.

Meer info:

8.4 Endpoint Security Baseline

Geen zin om alle policy’s zelf te configureren?

Toch graag een ASR, Virus, Firewall en beveiligingsbeleid?

Dan kan je er voor kiezen om de aanbevolen instellingen van Microsoft toe te passen of deze beperkt aan te passen. Dit zijn de Security Baselines voor:

  • Edge
  • Microsoft Apps (Office)
  • Windows

Meer info:

8.5 Bitlocker

Je hebt misschien al gehoord van Bitlocker. Maar wat is het en hoe configureer je het?

We bespreken Bitlocker in deze video.

Meer info:

Raadpleeg onze Intune policy’s:

8.6 Microsoft Defender for Endpoint integratie

Wil je Microsoft Defender integreren in je Intune beleid, dan leer je hier hoe dat moet. Zelfs zonder een A5 licentie heb je hier nuttig gebruik van door tamper protection en Web content filtering.

Meer info:

Extra's

9.1 Wat zijn de extra onderelen?

We hebben al een hele weg afgelegd.

In deze reeks kaderen we even:

  • Desktop Analytics
  • Mobiele platformen (Android en iOS)
  • Scope Tags (+)
  • Printer deployment(+)
  • LAPS (+)
  • Copilot in Intune (++)

Op het moment van opname is deze laatste een onderdeel van Copilot for Security en is dit een betalende uitbreiding.

9.2 Rapporten en analytics

Welke zijn rapporten die je kan raadplegen in Intune?

Welk is de volgorde van rapportering?

Hoe werkt Desktop Analytics?

We bespreken het allemaal en veel meer in deze les.

Meer info:

Het beleid zelf instellen:

9.3 Mobiele platforen (Android)

Android beheren vanuit Intune. Het kan! We bespreken:

  • Welke zijn de soorten Android enrollment?
  • Wat moet je doen voor een BYOD beleid?
  • Wat moet je doen voor een FUll enrollment?
  • Hoe werkt Android met Intune beheer?

Meer info:

9.4 Mobiele platformen (iOS)

Iosbeheren vanuit Intune. Het kan! We bespreken:

  • Entra ID en Apple Manager?
  • Intune als Apple MDM?
  • Apps en Policy’s naar Apple sturen.
  • Hoe werkt iOS met Intune beheer?

Meer info:

9.5 Stiltetijden (Android en iOS)

Preventie en welzijn op het werk vragen dat buiten de werkuren de notificaties van werkapps worden uitgeschakeld.

Je kan de gebruiker dit zelf laten aanpassen, maar in deze video leren we hoe je als bedrijf dit instelt.

Meer info:

9.6 Scope Tags

Werk je met meerdere organisaties in één tenant?

Wil je het beheer van toestellen en apps opsplitsen in meerdere units?

Telkens een eigen beheerder toekennen?

Dan is Bole Based Access op beheerdersniveau wat je zoekt.

Ontdek her hier. Meer info:

9.7 Printer deployment

We bespreken twee methodes om je printers te installeren via Intune:

  • Universal printer
  • PowerShell scripts

Je kan onze scripts downloaden op:

9.8 Windows LAPS

Lokaal administrator wachtwoord laten roteren?

We bespreken in deze video:

  • Waarom LAPS
  • Welke zijn de requierments?
  • Hoe het account activeren?
  • Hoe de policy activeren?
  • Waar vind je de wachtwoorden?

Meer info:

9.9 Intune Copilot

Laat je ondersteunen door Copilot.

Copilot for Intune is een onderdeel van Copilot for Secuity.

Met de integratie in de logboeken en specifieke PROMPTS voor device management kan deze assistent je helpen met problemen opsporen ne configuratie policy’s te maken.

9.10 Afronding en verder...

De allerlaatste video van deze reeks.

Een kort dankwoordje en meer info over verder studeren.

Evaluatie

EDU-Versity evaluatie

Ben je klaar om je kennis te testen? Je kan bij EDU-Versity een kennistest afleggen om te kijken of je alles goed begrepen hebt.

We evalueren hierbij:

  • Welke zijn de voorbereidende stappen?
  • Wat is Autopilot en welke verschillende soorten zijn er?
  • Hoe kan je een toestel onboarden?
  • Kennis over Configuratie beleiden.
  • Kennis over App distributie en voorbereiding.
  • Kennis over het uitvoeren van scripts.
  • Kennis over Endpoint beveiliging.
  • Kennis over Printer deployment.
  • Rapporten en eindpunt analyses hanteren.