Blog

Autopilot & Intune: notes from the field

Door: Siegmund Bosmans

Dat een moderne pc uitrol methode zoals Autopilot een meer dan welkome nieuwigheid was in het IT landschap, is intussen genoeg bekend en omschreven.  Maar wat minder is beschreven zijn de addertjes onder het gras of de kleine tegenslagen die je al doende kan  tegenkomen bij het implementeren van Autopilot via Microsoft Intune.

Vandaar deze bloemlezing uit wat we bij shiftz zoal tegengekomen zijn bij recente implementaties. Dit staat uiteraard los van de evolutie die Intune dit jaar al heeft doorgemaakt en nog zal doormaken, denk maar aan onder andere:

  • Windows Autopilot for white glove Whiteglove deployment
  • Administrative templates
  • Applicability rules
  • Custom notifications
  • Security baselines

Onze noties vanuit het veld:

Windows 10 build

Eerst en vooral moet je altijd zorgen dat je de meest recente build van Windows 10 gebruikt en daarnaast ook de laatst beschikbare updates  injecteert om bepaalde issues te vermijden. Voor Windows 10 build 1903 is dat bijvoorbeeld minstens KB4497935 & kb4505903)

Windows 10 build 1803 is vereist voor:

  • Weergave van de enrollment status pagina

Windows 10 build 1809 is vereist voor:

  • Pc-naamgeving aan de hand van variabelen
  • Self-deployment
  • Hybrid join
  • Remote reset
  • Bitlocker encryptie met 256 bit

Windows 10 build 1903 is vereist voor:

  • Whiteglove uitrolmethode
  • Tracken van win32 app installaties met de enrollment status page
  • Instellen van timezone via een CSP-setting

Hello For business

Het activeren van Hello for business in een omgeving die nog niet volledig online is, kan problemen geven als gebruikers nog toegang nodig hebben tot onpremise resources. Zij zullen op dat moment immers hun domain credentials moeten ingeven!

Powershell Scripts

Powershell scripts zijn vaak een laatste redmiddel, maar helaas niet zaligmakend.  Zo zal bijvoorbeeld elk Powershell script in principe slechts 1 keer draaien.  Als workaround kan je dit wel forceren door de Intune management extension service te herstarten en vervolgens de log ‘’intunemanagementextension” in programdata\microsoft\intune\management extension te bekijken.

Doorgeven van toestellen

Een uitgerold device is sowieso gekoppeld aan een specifieke gebruiker.  Dit wil zeggen dat je een toestel niet zomaar kan doorgeven aangezien de oorspronkelijke gebruiker altijd de owner zal blijven.  Herinstallatie is dus de boodschap!

Lokale beheerders

De domein gebruikers die je toevoegt aan de “additional local administrators on AAD joined devices” setting, zijn pas effectief local administrator als deze eerst aanloggen op het toestel. Met andere woorden: elevation zal niet werken tot dan, gelukkig is je global admin account ook altijd local administrator op het toestel.

Let op: domein users die daar als extra administrator toegevoegd worden gaan uiteraard ook weer door de Enrollment status page moeten. (kortom: we raden aan om de lokale administrator of de global admin te gebruiken om aan te loggen bij troubleshooting.

Een laatste weetje in dit kader: om een Azure AD user local admin te maken moet je volgende uitvoeren: net localgroup administrators /add “AzureAD\UserUpn” (dus zeker AZUREAD laten staan in deze cmdline)

Extra lokale gebruikers

Via een Content Security Policy instelling kan je een extra lokale gebruiker aanmaken op een toestel.  Dit geeft echter altijd een ‘remediation failed’ status en bovendien moet het paswoord meteen veranderd worden.  Voorlopig nog even via Powershell doen dus!

Device Restrictions

Device restrictions die via een Intune profile worden gezet hebben betrekking op iedereen die aanlogt op het toestel. Met andere woorden, ook je lokale beheeerder dus!

Importeren van toestellen

Het importeren van toestellen kan al even via de Intune console, toch gaat het nog steeds veel sneller als je dit nog via de business store doet en nadien een sync forceert in Intune!

Bytlocker encryptie

Bitlocker encryptie lukt niet als het toestel in een docking zit. Let ook op met 256 bit encryptie: dit werd eerst door Microsoft aanbevolen en is in de laatste security baseline terug afgezwakt tot 128 bit vanwege mogelijk peformantieverlies met 256 bit encryptie

Registry Keys

Soms is het nodig om registry keys per gebruiker uit te rollen om bepaalde instellingen te kunnen doen.  Uiteraard zijn hier verschillende mogelijkheden, maar wat onze voorkeur geniet is het genereren van een Powershell script via https://reg2ps.azurewebsites.net/ (get remediation script)

Group Policies & preferences

Nog niet al onze vertrouwde gpo settings & preferences zijn native mogelijk om via Intune te pushen.  Een workaround die wij handig vinden is settings te injecteren tijdens de uitrol via de tool LGPO.exe.  Het enige waar je moet voor opletten is dat je soms ook extra .admx bestanden lokaal zal moeten hebben zodat de setting zal werken (denk onder andere. aan Office)

Installatie Onedrive next gen client

De Onedrive next gen client kan je best uitrollen per machine i.p.v. per gebruiker.  Dit maakt dat het hele proces voor de gebruiker aanzienlijk sneller zal werken.

Personalisatie & Persoonlijke data

Persoonlijke data wordt best op voorhand gemigreerd aan de hand van bijvoorbeeld Onedrive known folder move.

Office templates, outlook handtekeningen & custom ribbons zijn zaken waar gebruikers nogal aan gehecht zijn. Neem dit zeker mee in het design!

Conclusie

De belangrijkste tip in verband met een mogelijke shift naar cloudbased beheer van computers is nog steeds: “Probeer niet alles wat vroeger onprem was geconfigureerd klakkeloos over te zetten!”

Dat er een verschil is tussen theorie en praktijk is zeker in de IT een feit. De snelheid waarmee cloudbased producten zoals Intune evolueren zorgt dat je continue moet bijblijven, een issue waar je maanden terug een workaround moest voor zoeken kan ineens out of the box mogelijk zijn. Bouw zoveel mogelijk de implementaties van Autopilot op volgens dezelfde manier en vergeet daarbij niet te documenteren

Meer weten: Shiftz contacteren en we helpen je graag verder!