9
Azure Hybrid AD Geräte nach Intune
Moin,
ich lasse Geräte per GPO ...
Computer Configuration > Administrative Templates > Windows Components > MDM > Enable automatic MDM enrollment using default Microsoft Entra credentials.
... vom Azure AD Hybrid joined zu Intune registrieren.
Jetzt ist mir aufgefallen, das wenn ich einen User anmelde, bei dem MFA eingerichtet ist, das ganze wohl nicht korrekt ausgeführt ist. Melde ich am Gerät mit einem User an, welcher noch kein MFA aktiviert hat, registriert sich das Gerät korrekt im Intune.
Hat das jemand schonmal so beobachtet und hat das echt mit der MFA zu tun?
ich lasse Geräte per GPO ...
Computer Configuration > Administrative Templates > Windows Components > MDM > Enable automatic MDM enrollment using default Microsoft Entra credentials.
... vom Azure AD Hybrid joined zu Intune registrieren.
Jetzt ist mir aufgefallen, das wenn ich einen User anmelde, bei dem MFA eingerichtet ist, das ganze wohl nicht korrekt ausgeführt ist. Melde ich am Gerät mit einem User an, welcher noch kein MFA aktiviert hat, registriert sich das Gerät korrekt im Intune.
Hat das jemand schonmal so beobachtet und hat das echt mit der MFA zu tun?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 64153075516
Url: https://administrator.de/contentid/64153075516
Printed on: April 28, 2024 at 10:04 o'clock
9 Comments
Latest comment
Moin,
was sagt?
Willst du, dass die Intune Devices nur mit MFA registriert werden dürfen?
Im Default ist das nämlich deaktiviert?:
https://learn.microsoft.com/en-us/mem/intune/enrollment/windows-enroll#m ...
Was heißt denn nicht "korrekt"?
Darf der MFA User überhaupt Devices in Intune einrollen?
Siehe hier bzgl MFA:
https://learn.microsoft.com/en-us/mem/intune/enrollment/multi-factor-aut ...
In der Info-Box ganz unten steht folgendes (Da wir kein MFA nutzen kann ich dazu nicht viel mehr sagen):
A second device is required to complete the MFA challenge for these types of corporate-owned devices:
- Android Enterprise fully managed devices
- Android Enterprise corporate-owned devices with a work profile
- iOS/iPadOS devices enrolled via Apple automated device enrollment
- macOS devices enrolled via Apple automated device enrollment
The second device is required because the primary device can't receive calls or text messages during the provisioning process.
Sonst mal die Logs durchchecken. Deine GPO erstellt einen Scheduled Task der versucht das Device einzurollen. Der erstellt auch Events im Event-Log. Eine Log-Datei gibt es bestimmt auch.
VG
was sagt
Dsregcmd /statusWillst du, dass die Intune Devices nur mit MFA registriert werden dürfen?
Im Default ist das nämlich deaktiviert?:
https://learn.microsoft.com/en-us/mem/intune/enrollment/windows-enroll#m ...
Was heißt denn nicht "korrekt"?
Darf der MFA User überhaupt Devices in Intune einrollen?
Siehe hier bzgl MFA:
https://learn.microsoft.com/en-us/mem/intune/enrollment/multi-factor-aut ...
In der Info-Box ganz unten steht folgendes (Da wir kein MFA nutzen kann ich dazu nicht viel mehr sagen):
A second device is required to complete the MFA challenge for these types of corporate-owned devices:
- Android Enterprise fully managed devices
- Android Enterprise corporate-owned devices with a work profile
- iOS/iPadOS devices enrolled via Apple automated device enrollment
- macOS devices enrolled via Apple automated device enrollment
The second device is required because the primary device can't receive calls or text messages during the provisioning process.
Sonst mal die Logs durchchecken. Deine GPO erstellt einen Scheduled Task der versucht das Device einzurollen. Der erstellt auch Events im Event-Log. Eine Log-Datei gibt es bestimmt auch.
VG
Nein, es geht nicht darum das Geräte nur mit MFA registriert werden dürfen, sondern darum das wenn sich nach dem Azure AD Sync ein User bei dem MFA aktiviert ist am Gerät anmeldet die Registrierung in Intune nicht funktioniert.
Die PCs werden aktuell mit AAD - Connect Hybrid ins Entra Portal etc. gejoined.
Von dort aus muss aber ja noch das Intune Enrollment stattfinden, dafür dann ja die GPO.
Nachdem ich den PC in die lokale Domäne genommen habe und der AAD Sync das Computerobjekt ins Azure Ad synct, melde ich mich mit einem User (ebenfalls Hybrid User) am Gerät an.
... die GPO erstellt den Scheduled Task auf den Geräten korrekt ...
Computer wird im Azure AD als "Hybrid Joined" angezeigt, jedoch nicht als "Intune verwaltet".
... wenn ich mich mit dem User anmelde, bei dem MFA aktiviert ist, wird das Gerät nicht registriert.
Bei anderen Usern bei denen MFA nicht aktiviert ist, registriert sich das Gerät ohne Probleme und taucht im Intune auf.
Und da beide User das Recht haben, Geräte zu registrieren, und der einzige unterschied MFA ist, tippe ich eben darauf.
Die PCs werden aktuell mit AAD - Connect Hybrid ins Entra Portal etc. gejoined.
Von dort aus muss aber ja noch das Intune Enrollment stattfinden, dafür dann ja die GPO.
Nachdem ich den PC in die lokale Domäne genommen habe und der AAD Sync das Computerobjekt ins Azure Ad synct, melde ich mich mit einem User (ebenfalls Hybrid User) am Gerät an.
... die GPO erstellt den Scheduled Task auf den Geräten korrekt ...
Computer wird im Azure AD als "Hybrid Joined" angezeigt, jedoch nicht als "Intune verwaltet".
... wenn ich mich mit dem User anmelde, bei dem MFA aktiviert ist, wird das Gerät nicht registriert.
Bei anderen Usern bei denen MFA nicht aktiviert ist, registriert sich das Gerät ohne Probleme und taucht im Intune auf.
Und da beide User das Recht haben, Geräte zu registrieren, und der einzige unterschied MFA ist, tippe ich eben darauf.
Ok, dann scheint ja die Basiseinstellung zu funktionieren.
Habe auf Reddit das hier gefunden:
https://www.reddit.com/r/Intune/comments/qdmo65/hybrid_azure_ad_join_and ...
Ggfs. hilft das weiter, obwohl es nicht 100%ig dein Problem beschreibt*
Hast du schon einen Blick in die Logs geworfen? Gelegentlich geben sie gute Rückschlüsse was das Problem ist.
VG
Habe auf Reddit das hier gefunden:
https://www.reddit.com/r/Intune/comments/qdmo65/hybrid_azure_ad_join_and ...
Ggfs. hilft das weiter, obwohl es nicht 100%ig dein Problem beschreibt*
Hast du schon einen Blick in die Logs geworfen? Gelegentlich geben sie gute Rückschlüsse was das Problem ist.
VG
... super! Das zieh ich mir sofort mal rein und berichte dann 
Moin,
Irgendwelche Erkenntnisse erlangt?
Vg
Irgendwelche Erkenntnisse erlangt?
Vg
... noch nicht, werde nächste Woche wieder neue Geräte hinzufügen müssen - und kann dann das ganze näher untersuchen und berichten.
... also ich steig da nicht hinter. Jedenfalls scheint es nichts mit MFA zutun zu haben.
Habe heute 8 neue Clients in die lokale AD genommen ... jeweils immer im vierer Schritt.
Bei sechs kein Problem ... tauchen im AzureAD auf ... und dann im Intune.
Und zwei tauchen zwar im AzureAD auf, jedoch nicht im Intune.
Aufgefallen ist mir dann das bei denjenigen die nicht den Join ausgeführt haben, die GPO nicht im Task Scheduler des lokalenAD Users auftaucht, nur ein Eintrag im Task Scheduler (Library-Microsoft-Windows-EnterpriseMGMT) des LOKALEN PC Users ... gehe ich da hin und stoße den Task manuell an, melde danach den lokalenAD User an, dann sind auch im Task Scheduler die benötigten Tasks drinne ... und das Gerät registriert sich in Intune.
Warum Wieso Weshalb ... keine Ahnung ...
Habe heute 8 neue Clients in die lokale AD genommen ... jeweils immer im vierer Schritt.
Bei sechs kein Problem ... tauchen im AzureAD auf ... und dann im Intune.
Und zwei tauchen zwar im AzureAD auf, jedoch nicht im Intune.
Aufgefallen ist mir dann das bei denjenigen die nicht den Join ausgeführt haben, die GPO nicht im Task Scheduler des lokalenAD Users auftaucht, nur ein Eintrag im Task Scheduler (Library-Microsoft-Windows-EnterpriseMGMT) des LOKALEN PC Users ... gehe ich da hin und stoße den Task manuell an, melde danach den lokalenAD User an, dann sind auch im Task Scheduler die benötigten Tasks drinne ... und das Gerät registriert sich in Intune.
Warum Wieso Weshalb ... keine Ahnung ...
hmm evtl hast du den task gesehen, weil der lokale user admin ist?
kannst du das nächste mal die trigger anschauen vom task? der sollte alle 5 minuten ausgeführt werden.
siehst du irgendetwas in den einstellungen bzgl. work account?
ggfs. wird da ein fehler angezeigt.
Check bitte nochmal die Logs ab.
Wenn der Task gar nicht getriggered wird sollte das Log leer sein.
Applications/Microsoft/Windows/DeviceManagement-Enterprise-Diagnostic-Provider
vg
kannst du das nächste mal die trigger anschauen vom task? der sollte alle 5 minuten ausgeführt werden.
siehst du irgendetwas in den einstellungen bzgl. work account?
ggfs. wird da ein fehler angezeigt.
Check bitte nochmal die Logs ab.
Wenn der Task gar nicht getriggered wird sollte das Log leer sein.
Applications/Microsoft/Windows/DeviceManagement-Enterprise-Diagnostic-Provider
vg
... genau - ich richte auf den Geräten erst einen lokalen Admin ein ... dann folgt der Domain-Join und somit folgen die GPOs etc. wenn ich den Domänen-User anmelde (welcher natürlich kein lokaler Admin ist).
... die Hardware ist jedesmal identisch ... die Geräte im AD in der selben OU ... das einzige was unterschiedlich ist, sind die User die eben angemeldet werden. Hier hat aber auch jeder User ne BusinessPremium Lizenz zugewiesen ... und mein erster Verdacht zwecks MFA hat sich nicht bestätigt, da das inzwischen auch auf den Geräten passiert bei denen ich einen User anmelde bei dem kein MFA hinterlegt ist.
... ich hab jetzt mal noch ca. 15 Geräte zu joinen und versuche da mal was festzustellen.
... die Hardware ist jedesmal identisch ... die Geräte im AD in der selben OU ... das einzige was unterschiedlich ist, sind die User die eben angemeldet werden. Hier hat aber auch jeder User ne BusinessPremium Lizenz zugewiesen ... und mein erster Verdacht zwecks MFA hat sich nicht bestätigt, da das inzwischen auch auf den Geräten passiert bei denen ich einen User anmelde bei dem kein MFA hinterlegt ist.
... ich hab jetzt mal noch ca. 15 Geräte zu joinen und versuche da mal was festzustellen.
