PSADT generelle Verschiebe-Option für Intune, bzw. Best Practice in Kombination Empirum & PSADT(Nxt)?

Hi zusammen,

wir haben aktuell noch Empirum im Einsatz, der mittelfristige Wechsel zu Intune ist aber bereits entschieden. Wir erstellen neue Pakete folglich auf PSADT(Nxt) Basis und versuchen gleich in Richtung Intune zu denken, bzw. Empirum-Agent Funktionen nicht mehr zu verwenden, um User direkt schon umzugewöhnen..

Jetzt haben wir uns gefragt, wie bilden wir die Empirum-Verteilungsoption „Verschieben möglich“ künftig im Intune ab?

Die Möglichkeiten in der Setup.cfg mittels DEFERDAYS und DEFERTIMES Verschiebe-Optionen zu definieren bezieht sich nur auf AskKillProcess, sprich sie wird dem User nur angeboten, wenn ein störender Prozess die Installation verhindert.

Es gibt aus meiner Sicht genug Gründe, dem User die Verschiebe-Option für unkritische Pakete grundsätzlich anbieten zu wollen. Intune bietet das meine ich nicht, idealerweise könnte man das aber auch via Setup.cfg Schalter je Paket aktivierbar machen und für kritische sicherheitsrelevante Updates auch ignorieren.

Wäre das abbildbar, oder wäre das nicht sogar ein Feature Request, das grundsätzlich sinnvoll/wünschenswert wäre?

Wie wird denn das PSADT-Verschieben realisiert bzw. wie verhält sich das Richtung Empirum?
Wird hier offiziell ein „Postponed“ zurück gespiegelt und der Empirum Agent triggert die Installation gemäß seinem Intervall wieder an? Parallel würde dann vermutlich den PSADT DEFERTIMES-Zähler hochzählen und das würde wiederum bedeuten, dass bei einem 60 Minuten Zyklus des Agenten hier hohe Werte zu hinterlegen wären, damit der User überhaupt auf X Tage kommen kann, die man ihm vielleicht parallel zugesteht? Zudem wäre das stündliche verschieben auch sehr unschön. Zum Vergleich mit Empirum, hier kann man aus Uhrzeiten oder „morgen“ auswählen.

In unserer PSADT-Schulung hatten wir gesagt bekommen, dass man die Werte möglichst „gleich“ einstellen sollte. Aber irgendwie macht das auch keinen Sinn, im Worstcase verschiebt der User über Empirum 3 Tage und am letzten wenn zwangsinstalliert wird und die AskKillProcess-Maske kommt, kann er dann dort nochmal 3 Tage verschieben…

Aktuell stehe ich mangels Dokumentation etwas auf dem Schlauch, aus meiner Sicht harmonieren die beiden Möglichkeiten (Empirum versus PSADT) aber nicht gerade miteinander, lösen sich aber auch nicht sauber ab.

Auch habe ich keine schlüssige Erklärung für die beiden DEFER-Werte gefunden. Verstehe ich es richtig, dass das DEFERDAYS automatisch eine endgültige Deadline berechnet, zu der dann allerspätestens installiert wird, selbst wenn der User noch DEFERTIMES übrig hätte und anders herum, nach Aufbrauchen der DEFERTIMES wird analog dazu zwangsinstalliert, auch wenn die DEFERDAYS-Deadline noch gar nicht erreicht ist?

Wenn hier jemand mit Praxisbeispielen aufwarten oder auch auf Hilfe-/Dokumentationen, die ich bislang nicht gefunden habe, verweisen könnte, wäre ich dankbar.

Beste Grüße
Lucas

An solch einer Lösung arbeite ich aktuell auch, daher kann ich dein Anliegen verstehen.

Ich arbeite aktuell an einem „Detect-BusyUser“-Skript, was erkennt, ob der Benutzer gerade beschäftigt ist (anhand von fast 20 Indikatoren) oder diesen einfach mittels Form fragt. Die Anzahl Versuche und die Wartezeiträume dazwischen lassen sich konfigurieren. Dann kann noch konfiguriert werden, ob die Software nach allen Versuchen zwangsinstalliert wird oder schlicht mit passendem Fehlercode fehlschlägt.

Die PSADTv4-Entwickler hatten sich auch gedacht, eine ähnliche Funktion anzubieten. Diese wurde aber nur zum Teil umgesetzt.
Die Frage an den Benutzer zum Beispiel kann man per WindowsForm oder einfacher Messagebox und Execute-ProcessAsUser umsetzen.
Die Versuche lassen sich per Do-Schleife mit Zähler umsetzen (als Variable und Wert in Registry, damit es sich auch nach einem User-Logoff die Anzahl merkt), die Pausen mit Start-Sleep.

Das ist wirklich ein Feature, was bei Intune fehlt.

Das mit dem Detect-BusyUser-Skript klingt sehr spannend, darf ich daraus entnehmen, dass man bei Intune auch eine Funktion à la Empirum „Präsentationsmodus beachten“ vergeblich sucht?

Ich hatte bei PSADT entsprechend auch die Beispiel-Prompts gesehen, z.B. PSADT - Installation Welcome Promt in denen eigentlich genau das gezeigt wird, was mir vorschwebt.

Letztlich nutzt neo42 hier genau diese Welcome-Prompts auch, aber eben nur im Falle von störenden Prozessen und es ist eine entsprechende Nxt-Wrapper-Funktion mit erweiterten Funktionen darum gebaut.
So wie es für mich aussieht müsste man hier also in der Deploy-Application.ps1 außerhalb der Custom-Bereiche ordentlich Code umschreiben, um hier zum gewünschten Ergebnis zu kommen. Und um flexibel zu sein, müsste man das idealerweise dann auch über die Setup.cfg-Schalter zugänglich zu machen.
Machbar ist wie man so schön sagt alles, aber praktisch finde ich es nicht hier manuell einzugreifen. Da muss man im Falle eines PSADT-/Nxt-Updates alles händisch wieder nachtragen und auf Funktion prüfen.

Was ich nicht verstehe ist, warum das nicht offiziell Bestandteil des „PSADTNxt“ zu sein scheint, die Parameter um das zu steuern sind in der Show-NxtInstallationWelcome aus meiner Sicht vorhanden, bis auf die für AskKillProcess nötigen, werden sie aber „hart“ und leider negativ definiert.

Heißt für mich PSADT bietet hier eigentlich viele Möglichkeiten, die neo42 Extensions erweitern diese sogar noch, Richtung Endnutzer ist vieles davon aber nicht ohne weiteres nutzbar, oder übersehe ich hier etwas komplett!?

Gerade wenn Intune hier nur einen Bruchteil von den Empirum-Möglichkeiten zu bieten scheint (mein Intune-Wissen ist aktuell noch sehr begrenzt), diese aber mittels PSADT nachgerüstet werden können (siehe Verschieben-Option), warum wird das dann nicht offiziell seitens der neo42 Extensions bereit gestellt?

Wir haben bisher die PSADT-Pakete gemäß unserer neo42-Schulung auf deren erweitertes PSADT mit neo42 Extensions aufgebaut und uns bisher nur in den Custom-Bereichen für unsere eigenen Anpassungen für das jeweilige Paket bewegt, hierauf lag auch der Schulungsfokus. Aber je mehr man sich damit beschäftigt, desto öfters stößt man auf Empirum-Funktionen, von denen man sich realistisch verabschieden muss.

Wie ist es denn in der Intune-Praxis/-Realität?

• Nutzt Ihr auch komplett PSADT mit den neo42 Extensions, nur PSADT oder gemischt?
• Kommt man mit dem einfach zugänglichen Funktionsumfang (Stichwort Custom-Funktionen) in der Praxis klar, oder muss man am Grundgerüst noch stark nachrüsten und manuell eingreifen? (Dein Detect-BusyUser-Skript lässt auf letzteres schließen )

Aus der Sicht der Entwicklung möchte ich sagen, dass mir die ganzen Optionen, die es im PSADT gibt, um Installationen zu verschieben, von Anfang an nicht gefallen haben - soweit ich weiß, haben wir das vor allem in der jetzigen Form implementiert, um die „PSADT Kenner“ abzuholen.

Das Problem ist meiner Meinung nach, dass man hier die Verantwortlichkeiten zwischen dem Paket und dem Verteilsystem unterscheiden sollte. Die verschiedenen Verteilsysteme haben bereits unterschiedliche Strategien für Polling-Intervalle, Wiederholungen nach Fehlern, Ablehnung von Installationen, Deadlines etc.

Wenn nun die einzelnen Pakete ihre eigenen Strategien mitbringen, kommt es früher oder später immer dazu, dass die Erwartungen nicht erfüllt werden und/oder die beiden Strategien gegeneinander arbeiten.

Ich kann deine Argumentationen verstehen, es ist auch einfach ein schwieriges Thema.

Man möchte die Funktionsvielfalt bzw. die Möglichkeiten auch nicht zu sehr überladen, da man dann etwa die Übersicht verliert oder sich Funktionalitäten gegenseitig stören könnten. Zudem ist das Zusammenspiel mit dem jeweiligen Verteilsystem nicht immer einfach (z. B. muss man die Installationsdauer bzw. den Timeout aussetzen oder sehr hoch ansetzen für eine PSADT-Lösung).

Schlussendlich ist der richtige Zeitpunkt der Verteilung bzw. der Paketinstallation für den Benutzer oftmals ein sehr subjektives Thema und man kann es nie allen recht machen. Da Intune aber einige Möglichkeiten vermissen lässt (was z. B. Empirum bietet), kommt man an dieser Stelle aktuell an einer eigenen Lösung nicht vorbei.

… darf ich daraus entnehmen, dass man bei Intune auch eine Funktion à la Empirum „Präsentationsmodus beachten“ vergeblich sucht?

Ja

Wie ist es denn in der Intune-Praxis/-Realität?

• Nutzt Ihr auch komplett PSADT mit den neo42 Extensions, nur PSADT oder gemischt?
• Kommt man mit dem einfach zugänglichen Funktionsumfang (Stichwort Custom-Funktionen) in der Praxis klar, oder muss man am Grundgerüst noch stark nachrüsten und manuell eingreifen? (Dein Detect-BusyUser-Skript lässt auf letzteres schließen )

Wir nutzen es sehr gemischt. Schlussendlich haben wir auch einige Kundenaufträge, welche über eine übliche Anwendungsbereitstellung hinaus gehen (z. B. Anwendungspakete mit vielen Spezial-Anpassungen, Config-Pakete und Automatisierungs-Pakete).

Ich persönlich benutze einige Zusatzskripte, die ich über die Deploy-Application.ps1 aufrufe, um z. B. Systeme zuvor auf Bedingungen zu analysieren oder mit dem Benutzer zu interagieren, falls nötig.

Hier liegt vermutlich mein Hauptproblem - ich kann aktuell Richtung Intune noch nicht mitreden und weiß noch gar nicht, was uns hier erwartet und was wir an Empirum vermissen werden. Aber ich kann die Argumentation natürlich auch gut verstehen.

Es hatte mich nur verwundert, dass Code-/Parameter-technisch alles da und bereit ist, aber eben nicht zur einfachen Nutzung durch den Paketersteller vorbereitet ist.