Toestellen toevoegen in Endpoint Manager – Azure AD of Hybrid Join?

Toestellen toevoegen in Endpoint Manager – Azure AD of Hybrid Join?

Eerder schreef ik een blog om zelf één toestel toe te voegen in Endpoint manager en algemene uitleg wat Windows Autopilot kan beteken voor jou.

Als je je volledige organisatie wil onboarden in Endpoint manager bestaan er verschillende scenario’s.

Eenvoudig gezegd: Je kan Endpoint manager installeren op verschillende manieren.

Een Hybride manierHybrid Azure AD Join. Die makkelijk is om de toestellen toe te voegen. Maar wel het nadeel heeft dat sommige zaken nog on-premises moeten gebeuren en andere in de Cloud. — Dit brengt een relatief hoge complexiteit met zich mee.

Of een volledige cloud manierAzure AD Join. Dit legt het beheer in Endpoint manager, in de cloud. Maar geeft uiteraard ook nog de autonomie om zaken die je nog on-premises hebt te kunnen blijven gebruiken.

Tip: Het is niet omdat je toestel niet bekend is in de lokale Active Directory dat je geen gebruik meer kan maken van on-premises resources. Een praktisch voorbeeld hier zijn fileshares. Deze zijn nog aanspreekbaar omdat je identiteiten on-premises bekend zijn in de lokale AD en gesynct worden naar Azure AD. Andere voorbeelden zijn authenticatie naar webservers, webapps, of andere diensten die je hebt ingericht.

Twee mogelijkheden om toestellen toe te voegen in Endpoint manager

User-drivenUser-driven met with-gloveUser-driven voor bestaande toestellenSelf-deployingAutopilot reset
Azure AD Join✔️✔️✔️✔️✔️
Hybrid Azure AD Join✔️✔️✔️

Je kan Endpoint manager en Windows Autopilot gebruiken om in een hybride modus via Azure Active Directory-gekoppelde apparaten (Azure AD) in te stellen — maar daar gaan we in deze niet verder op in. Als je dit wil realiseren kan je verder in deze blogpost via Microsoft Docs.

Toestellen rechtstreeks toevoegen Endpoint manager – Azure AD Join – Administrator instellingen

Alle exacte stappen om toestellen uit te rollen hieronder opgelijst:

Voeg je domein toe aan je tenant – Dit zorgt ervoor dat je domein kan gebruiken voor MDM = Endpoint manager.

een 2de voorbereidende stap is via deze URL de MDM user scope op all zetten + MAM user scope.

Je kan hier zeker werken met some, en groepen definiëren. Want als je ALL toelaat, kan iedereen toestellen onboarden. En dat wil je niet. Misschien tijdelijk wel?

Een 3de stap is een Windows Autopilot profiel aanmaken. Hierop gaan we later in het artikel in.

Windows Autopilot configureren voor Azure AD Join

Je kan starten met de baseline van Microsoft als je nog geen ervaring hebt met Windows Autopilot. Een voordeel is: Alles is perfect geconfigureerd. Nadeel: Véél security policies. Maar die kan je later aanpassen.

de 2de optie is een deployment profiel aan te maken voor Azure AD Join. Dit kan vanuit https://endpoint.Microsoft.com of rechtstreeks via: https://endpoint.microsoft.com/#blade/Microsoft_Intune_Enrollment/AutopilotMenuBlade/

Hieronder de exacte uitleg.

Druk op Create profile -> Windows PC

Maak een profiel aan zoals in dit voorbeeld.

Vanaf nu kan je elk toestellen automatisch registreren in Endpoint manager vanaf een clean-install van Windows 10 zoals in dit voorbeeld.

Beter nog is een dynamische groep gebruiken en included groups omzetten naar persona.

Een toestel reactief uitrollen via “toegang tot werk of school”

Vaak zijn Windows 10 toestellen reeds geïnstalleerd zonder MDM. Dit geeft het resultaat dat er geen controle is door IT-Administrators. Gebruikers moet lokale administratorsrechten kunnen zelf hun toestellen toevoegen in endpoint manager.

Voordeel: Controle

Nadeel: Vaak zitten ze nog in de lokale Active Directory. MAAR net omdat je voor dit scenario koos kan je later resetten zodat deze volledig in beheer komen.

Technische documentatie: Windows Autopilot User-Driven Mode | Microsoft Docs

1. Start je Windows 10 computer op en klik op start

2. Klik op instellingen en kies accounts

3. Klik op verbinden in het menu ‘toegang tot werk of school’

4. Vul je login gegevens in

5. Vul je wachtwoord in

Alles in orde!

Gebruikers zelf hun toestellen laten registreren

Deze wizard komt automatisch naar boven bij verschillende applicaties zoals: Company Portal – Office 365 installatie – Outlook configuratie (laatste stap) – OF als gebruikers zelf klikken op access work or school.

Als gebruikers toestellen zelf willen kunnen toevoegen moet je later deze toestellen ook bekend maken in Windows Autopilot. Zodat je bij resetten niet in de problemen komt. Testen! Zie hiervoor ook de screenshot UserMode bovenaan.

Onbekend toestel

Installeer Company Portal via de Microsoft Store

Log in met een gebruikers account van je tenant (user-mode)

Denk aan user-mode! Dit is geen IT-Administrator interactie!

Je kan toestellen ook via Access Work or school toevoegen.

Krijg je foutmelding 8018002 bij het registreren. Check de MDM Scope OF geef de gebruiker een Endpoint manager licentie.

“Allow My Organization to manage my device” uitschakelen? -> Devices – Microsoft Endpoint Manager admin center

Andere Endpoint manager blogs

Wachtwoorden, favorieten en instellingen opslaan in Microsoft Edge
Download en deploy Microsoft Edge for business Server 2016 / 2019
Configureer automatisch aanmelden + synchroniseren in Edge met intune
Microsoft Intune Company Portal installatie – Endpoint manager
Google automatisch als standaard zoekmachine zetten in Edge Browser
Windows insider ring testen met Microsoft Endpoint manager – Intune

Jasper

Jasper

Welkom op 365tips.be. Op deze website lees je artikels en ervaringen over Office 365 met focus op Microsoft Teams. Stel me gerust een vraag en ik antwoord in een blogpost. Help ook andere door reacties te geven onderaan de artikels.

Geef een reactie