10
Intune Registrierungseinschränkungen lassen sich nicht konfigurieren
Hallo zusammen,
ich lerne und bastle fleißig an der Einrichtung unseres MDM.
Ich würde gern verhindern, dass die Benutzer private Geräte ins Intune aufnehmen, sei es absichtlich, oder unabsichtlich durch falsche Auswahl der Dialoge.
Gefunden habe ich, dass man eine Einschränkung je Geräteplattform erstellen und vor der Standardrichtlinie listen soll.
Also über:
Geräte registrieren | Registrierungseinschränkungen – Geräteplattform --> Einschränkung hinzufügen
Hier kann ich nun machen was ich will, ich lande beim Erstellen immer in der Meldung:
Früher (vor ~1 Jahr) gab es wohl eine Option der Gruppe "All Users" die privaten, wie auch gewisse Plattformen allgemein zu blocken: https://youtu.be/XsWCU5JwGig?t=298
Ich habe eben dazu ein Ticket bei Microsoft eröffnet, aber das dauert ja immer, ggf. hatte das Problem schon mal jemand?
Grüße
ToWa
ich lerne und bastle fleißig an der Einrichtung unseres MDM.
Ich würde gern verhindern, dass die Benutzer private Geräte ins Intune aufnehmen, sei es absichtlich, oder unabsichtlich durch falsche Auswahl der Dialoge.
Gefunden habe ich, dass man eine Einschränkung je Geräteplattform erstellen und vor der Standardrichtlinie listen soll.
Also über:
Geräte registrieren | Registrierungseinschränkungen – Geräteplattform --> Einschränkung hinzufügen
Hier kann ich nun machen was ich will, ich lande beim Erstellen immer in der Meldung:
Früher (vor ~1 Jahr) gab es wohl eine Option der Gruppe "All Users" die privaten, wie auch gewisse Plattformen allgemein zu blocken: https://youtu.be/XsWCU5JwGig?t=298
Ich habe eben dazu ein Ticket bei Microsoft eröffnet, aber das dauert ja immer, ggf. hatte das Problem schon mal jemand?
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6935436750
Url: https://administrator.de/contentid/6935436750
Printed on: April 27, 2024 at 07:04 o'clock
10 Comments
Latest comment
Hallo ToWa,
ich habe die Sache auch lange getüftelt und diese wie folgt gelöst:
1. Microsft Entra Admin Center/Azure Active Directory/Geräte/Geräteeinstellungen - Benutzer dürfen Geräte in Azure AD einbinden: Keine
Damit wird unterbunden, dass Benutzer ihre Geräte dem AAD einbinden (=joinen). Ein „registrieren“ ist dennoch möglich.
Anmerkung: Beim Rollout der Geräte ist es unbedingt erforderlich, dass die Einstellungen im Microsoft Entra Admin Center/Azure Active Directory/Einstellungen/Mobilität/Microsoft Intune (MDM und MAM) auf:
• MDM-Benutzerbereich: Alle
• MAM-Benutzerbereich: Keine
festgelegt ist. Ansonsten wird das Gerät nicht im Mobile Device Management sichtbar und es werden keine Apps verteilt. Allerdings ist diese Einstellung wahrscheinlich abhängig ob die Apps den Benutzergruppen oder den Gerätegruppen zuweist.
2. Azure Active Directory registrierte Geräte MDM verwaltet:
Es ist Benutzern möglich registrierte Geräte über:
• Einstellungen/Konto/auf Arbeits- oder Schulkonto zugreifen + Nur bei der Geräteverwaltung registrieren und
• bei einer Installation oder Anmeldung in einer lokal installierten Office Anwendung, wenn das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv bleibt
im MDM (Endpoint Manager) als registrierte Geräte im MDM aufscheinen. Dies ist bei mir nicht gewünscht, da im MDM nur gejointe Geräte aufscheinen sollen!
„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.
Dadurch können Benutzer sich in den Office Anwendungen immer noch anmelden – da dies eine AAD-Registrierung ist und keine MDM-Registrierung! Wird das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv belassen kommt eine Fehlermeldung. Die Anmeldung in der Anwendung wird aber durchgeführt. Die Fehlermeldung bezieht sich auf die „MDM-Verwaltung“. Wird die Option bei der Office-Anmeldung deaktiviert wird aber eine AAD-Registrierung durchgeführt. Unter Windows/Einstellungen/Konten/Auf Arbeits- oder Schulkonto zugreifen ist dann nach wie vor ein Verbinden möglich.
vgl: https://ictschule.com/2020/11/01/office-365-gratis-auf-privaten-geraten- ...
Bei einem Rollout nehme ich dann temporär die Beschränkungen weg und danach setze ich diese wieder aktiv. Bei mir leicht möglich, da nicht laufend Geräte hinzukommen.
MfG
M.A.
ich habe die Sache auch lange getüftelt und diese wie folgt gelöst:
1. Microsft Entra Admin Center/Azure Active Directory/Geräte/Geräteeinstellungen - Benutzer dürfen Geräte in Azure AD einbinden: Keine
Damit wird unterbunden, dass Benutzer ihre Geräte dem AAD einbinden (=joinen). Ein „registrieren“ ist dennoch möglich.
Anmerkung: Beim Rollout der Geräte ist es unbedingt erforderlich, dass die Einstellungen im Microsoft Entra Admin Center/Azure Active Directory/Einstellungen/Mobilität/Microsoft Intune (MDM und MAM) auf:
• MDM-Benutzerbereich: Alle
• MAM-Benutzerbereich: Keine
festgelegt ist. Ansonsten wird das Gerät nicht im Mobile Device Management sichtbar und es werden keine Apps verteilt. Allerdings ist diese Einstellung wahrscheinlich abhängig ob die Apps den Benutzergruppen oder den Gerätegruppen zuweist.
2. Azure Active Directory registrierte Geräte MDM verwaltet:
Es ist Benutzern möglich registrierte Geräte über:
• Einstellungen/Konto/auf Arbeits- oder Schulkonto zugreifen + Nur bei der Geräteverwaltung registrieren und
• bei einer Installation oder Anmeldung in einer lokal installierten Office Anwendung, wenn das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv bleibt
im MDM (Endpoint Manager) als registrierte Geräte im MDM aufscheinen. Dies ist bei mir nicht gewünscht, da im MDM nur gejointe Geräte aufscheinen sollen!
„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.
Dadurch können Benutzer sich in den Office Anwendungen immer noch anmelden – da dies eine AAD-Registrierung ist und keine MDM-Registrierung! Wird das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv belassen kommt eine Fehlermeldung. Die Anmeldung in der Anwendung wird aber durchgeführt. Die Fehlermeldung bezieht sich auf die „MDM-Verwaltung“. Wird die Option bei der Office-Anmeldung deaktiviert wird aber eine AAD-Registrierung durchgeführt. Unter Windows/Einstellungen/Konten/Auf Arbeits- oder Schulkonto zugreifen ist dann nach wie vor ein Verbinden möglich.
vgl: https://ictschule.com/2020/11/01/office-365-gratis-auf-privaten-geraten- ...
Bei einem Rollout nehme ich dann temporär die Beschränkungen weg und danach setze ich diese wieder aktiv. Bei mir leicht möglich, da nicht laufend Geräte hinzukommen.
MfG
M.A.
Hallo M.A.,
vielen Dank für die ausführliche Antwort.
So ganz will das aber noch nicht in meinen Kopf.
Grundsätzlich muss das ja so funktionieren wie ich denke, allerdings hat MS sich dazu noch immer nicht geäußert.
Im Azure AD habe ich den AD-Beitritt und -Registrierung auf eine bestimmte Gruppe festgelegt, nämlich die mit externen Geräten. Ob ich das ganz deaktiviere hatte ich auch mal überlegt, mich aber erstmal dagegen entschieden.
Punkt 2 meinst du wohl auch im Azure AD?
Den kann ich nicht verwalten:
Grüße
ToWa
vielen Dank für die ausführliche Antwort.
So ganz will das aber noch nicht in meinen Kopf.
Grundsätzlich muss das ja so funktionieren wie ich denke, allerdings hat MS sich dazu noch immer nicht geäußert.
Im Azure AD habe ich den AD-Beitritt und -Registrierung auf eine bestimmte Gruppe festgelegt, nämlich die mit externen Geräten. Ob ich das ganz deaktiviere hatte ich auch mal überlegt, mich aber erstmal dagegen entschieden.
Punkt 2 meinst du wohl auch im Azure AD?
Den kann ich nicht verwalten:
Grüße
ToWa
Gruß ToWa!
@punkt 2 beschreibt die Angelegenheit, dass AAD registrierte Geräte im MDM (Endpoint Manager) aufscheinen, was ich aber nicht will. Ich will nur gejointe Geräte via MDM/MAM verwalten. Also mit registrierten Geräten will ich einfach nix zu tun haben. Durch die beschriebenen Workaround (zugegeben komplex und verstrickt) habe ich die Sache aber hinbekommen. Und ab jetzt gilt für mich (zumindest für eine Zeit lang): never touch....
Viel Erfolg.
MfG
M.A.
@punkt 2 beschreibt die Angelegenheit, dass AAD registrierte Geräte im MDM (Endpoint Manager) aufscheinen, was ich aber nicht will. Ich will nur gejointe Geräte via MDM/MAM verwalten. Also mit registrierten Geräten will ich einfach nix zu tun haben. Durch die beschriebenen Workaround (zugegeben komplex und verstrickt) habe ich die Sache aber hinbekommen. Und ab jetzt gilt für mich (zumindest für eine Zeit lang): never touch....
Viel Erfolg.
MfG
M.A.
Salut!
Aber genau das ist ja mein Punkt aus dem Ausgangsposting, du schreibst:
„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.
Geht nicht, denn dann kommt o.g. Fehlermeldung beim erstellen der Richtlinie.
...und die Standardrichtlinie kann ich ebenfalls nicht anpassen, denn es fehlt der "Edit"-Button:
Grüße
ToWa
Hello!
Aus Zeitgründen "nur" ein Screenshot:
Aus Zeitgründen "nur" ein Screenshot:
Mit diesen Einstellungen klappt es bei mir.
Danke, aber vergleiche bitte kurz den Pfad von meinem Screenshot und deinem. 
Ich bin bereits auf "Eigenschaften" von "Alle Benutzer".
Bei mir gibt es leider keinen "bearbeiten" Button, daher komme ich gar nicht in das Menü.
Irgendwas hängt da, obwohl ich Globaler Administrator bin.
Im Anhang auch mal mit einem zweiten globalen Administrator Account, entweder bin ich blind, oder da ist was faul.
Grüße
ToWa
Ich bin bereits auf "Eigenschaften" von "Alle Benutzer".
Bei mir gibt es leider keinen "bearbeiten" Button, daher komme ich gar nicht in das Menü.
Irgendwas hängt da, obwohl ich Globaler Administrator bin.
Im Anhang auch mal mit einem zweiten globalen Administrator Account, entweder bin ich blind, oder da ist was faul.
Grüße
ToWa
Guten Abend!
Also das ist jetzt schon etwas verwirrend - denn:
Also das ist jetzt schon etwas verwirrend - denn:
Naja ich schreibe hier nicht aus Jucks
Der "Button" wird ja auch überall erwähnt, aber ich kann ihn leider nicht herzaubern.
Dann muss ich wohl auf den Support warten...
Hallo zusammen,
der Support war bislang nicht hilfreich, aber ich habe das Problem lösen können.
Ich konnte eine kleine Infobox in Intune (Geräte - Übersicht) entdecken, in welcher sinngemäß Stand:
Aktuell werden Ihre Geräte über Office 365 verwaltet. Für den vollen Funktionsumfang bitte Intune MDM aktivieren.
Da ich nichts zu verlieren hatte, habe ich mal den Haken gesetzt und "migriert".
Siehe da, der "Bearbeiten"-Button war anschließend direkt vorhanden.
Mal sehen wo es als nächstes klemmt...
Grüße
ToWa
der Support war bislang nicht hilfreich, aber ich habe das Problem lösen können.
Ich konnte eine kleine Infobox in Intune (Geräte - Übersicht) entdecken, in welcher sinngemäß Stand:
Aktuell werden Ihre Geräte über Office 365 verwaltet. Für den vollen Funktionsumfang bitte Intune MDM aktivieren.
Da ich nichts zu verlieren hatte, habe ich mal den Haken gesetzt und "migriert".
Siehe da, der "Bearbeiten"-Button war anschließend direkt vorhanden.
Mal sehen wo es als nächstes klemmt...
Grüße
ToWa