dertowa
Goto Top

Intune Registrierungseinschränkungen lassen sich nicht konfigurieren

Hallo zusammen,
ich lerne und bastle fleißig an der Einrichtung unseres MDM.
Ich würde gern verhindern, dass die Benutzer private Geräte ins Intune aufnehmen, sei es absichtlich, oder unabsichtlich durch falsche Auswahl der Dialoge.

Gefunden habe ich, dass man eine Einschränkung je Geräteplattform erstellen und vor der Standardrichtlinie listen soll.
Also über:
Geräte registrieren | Registrierungseinschränkungen – Geräteplattform --> Einschränkung hinzufügen

Hier kann ich nun machen was ich will, ich lande beim Erstellen immer in der Meldung:
error

Früher (vor ~1 Jahr) gab es wohl eine Option der Gruppe "All Users" die privaten, wie auch gewisse Plattformen allgemein zu blocken: https://youtu.be/XsWCU5JwGig?t=298

Ich habe eben dazu ein Ticket bei Microsoft eröffnet, aber das dauert ja immer, ggf. hatte das Problem schon mal jemand?

Grüße
ToWa

Content-ID: 6935436750

Url: https://administrator.de/forum/intune-registrierungseinschraenkungen-lassen-sich-nicht-konfigurieren-6935436750.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

markaurel
markaurel 27.04.2023 aktualisiert um 18:23:50 Uhr
Goto Top
Hallo ToWa,

ich habe die Sache auch lange getüftelt und diese wie folgt gelöst:

1. Microsft Entra Admin Center/Azure Active Directory/Geräte/Geräteeinstellungen - Benutzer dürfen Geräte in Azure AD einbinden: Keine
Damit wird unterbunden, dass Benutzer ihre Geräte dem AAD einbinden (=joinen). Ein „registrieren“ ist dennoch möglich.

Anmerkung: Beim Rollout der Geräte ist es unbedingt erforderlich, dass die Einstellungen im Microsoft Entra Admin Center/Azure Active Directory/Einstellungen/Mobilität/Microsoft Intune (MDM und MAM) auf:
• MDM-Benutzerbereich: Alle
• MAM-Benutzerbereich: Keine
festgelegt ist. Ansonsten wird das Gerät nicht im Mobile Device Management sichtbar und es werden keine Apps verteilt. Allerdings ist diese Einstellung wahrscheinlich abhängig ob die Apps den Benutzergruppen oder den Gerätegruppen zuweist.

2. Azure Active Directory registrierte Geräte MDM verwaltet:
Es ist Benutzern möglich registrierte Geräte über:
• Einstellungen/Konto/auf Arbeits- oder Schulkonto zugreifen + Nur bei der Geräteverwaltung registrieren und
• bei einer Installation oder Anmeldung in einer lokal installierten Office Anwendung, wenn das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv bleibt
im MDM (Endpoint Manager) als registrierte Geräte im MDM aufscheinen. Dies ist bei mir nicht gewünscht, da im MDM nur gejointe Geräte aufscheinen sollen!

„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.

Dadurch können Benutzer sich in den Office Anwendungen immer noch anmelden – da dies eine AAD-Registrierung ist und keine MDM-Registrierung! Wird das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv belassen kommt eine Fehlermeldung. Die Anmeldung in der Anwendung wird aber durchgeführt. Die Fehlermeldung bezieht sich auf die „MDM-Verwaltung“. Wird die Option bei der Office-Anmeldung deaktiviert wird aber eine AAD-Registrierung durchgeführt. Unter Windows/Einstellungen/Konten/Auf Arbeits- oder Schulkonto zugreifen ist dann nach wie vor ein Verbinden möglich.

vgl: https://ictschule.com/2020/11/01/office-365-gratis-auf-privaten-geraten- ...

Bei einem Rollout nehme ich dann temporär die Beschränkungen weg und danach setze ich diese wieder aktiv. Bei mir leicht möglich, da nicht laufend Geräte hinzukommen.

MfG

M.A.
dertowa
dertowa 28.04.2023 um 08:49:38 Uhr
Goto Top
Hallo M.A.,

vielen Dank für die ausführliche Antwort.
So ganz will das aber noch nicht in meinen Kopf.

Grundsätzlich muss das ja so funktionieren wie ich denke, allerdings hat MS sich dazu noch immer nicht geäußert. face-sad

Im Azure AD habe ich den AD-Beitritt und -Registrierung auf eine bestimmte Gruppe festgelegt, nämlich die mit externen Geräten. Ob ich das ganz deaktiviere hatte ich auch mal überlegt, mich aber erstmal dagegen entschieden.

Punkt 2 meinst du wohl auch im Azure AD?
Den kann ich nicht verwalten:
intn

Grüße
ToWa
markaurel
markaurel 28.04.2023 um 10:18:30 Uhr
Goto Top
Gruß ToWa!

@punkt 2 beschreibt die Angelegenheit, dass AAD registrierte Geräte im MDM (Endpoint Manager) aufscheinen, was ich aber nicht will. Ich will nur gejointe Geräte via MDM/MAM verwalten. Also mit registrierten Geräten will ich einfach nix zu tun haben. Durch die beschriebenen Workaround (zugegeben komplex und verstrickt) habe ich die Sache aber hinbekommen. Und ab jetzt gilt für mich (zumindest für eine Zeit lang): never touch....

Viel Erfolg.

MfG

M.A.
dertowa
dertowa 28.04.2023 aktualisiert um 10:28:47 Uhr
Goto Top
Zitat von @markaurel:

Viel Erfolg.

Salut!

Aber genau das ist ja mein Punkt aus dem Ausgangsposting, du schreibst:
„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.

Geht nicht, denn dann kommt o.g. Fehlermeldung beim erstellen der Richtlinie.
...und die Standardrichtlinie kann ich ebenfalls nicht anpassen, denn es fehlt der "Edit"-Button:
button

Grüße
ToWa
markaurel
markaurel 28.04.2023 um 12:50:59 Uhr
Goto Top
Hello!

Aus Zeitgründen "nur" ein Screenshot:
unbenannt
markaurel
markaurel 28.04.2023 um 12:51:48 Uhr
Goto Top
Mit diesen Einstellungen klappt es bei mir.
dertowa
dertowa 28.04.2023 aktualisiert um 14:57:01 Uhr
Goto Top
Danke, aber vergleiche bitte kurz den Pfad von meinem Screenshot und deinem. face-smile
Ich bin bereits auf "Eigenschaften" von "Alle Benutzer".

Bei mir gibt es leider keinen "bearbeiten" Button, daher komme ich gar nicht in das Menü.
Irgendwas hängt da, obwohl ich Globaler Administrator bin.

Im Anhang auch mal mit einem zweiten globalen Administrator Account, entweder bin ich blind, oder da ist was faul.

Grüße
ToWa
admin
markaurel
markaurel 28.04.2023 um 21:26:31 Uhr
Goto Top
Guten Abend!

Also das ist jetzt schon etwas verwirrend - denn:
screenshot 2023-04-28 212443
dertowa
dertowa 29.04.2023 um 00:18:49 Uhr
Goto Top
Zitat von @markaurel:

Also das ist jetzt schon etwas verwirrend - denn:

Naja ich schreibe hier nicht aus Jucks face-big-smile
Der "Button" wird ja auch überall erwähnt, aber ich kann ihn leider nicht herzaubern.

Dann muss ich wohl auf den Support warten...
dertowa
Lösung dertowa 04.05.2023 aktualisiert um 10:22:27 Uhr
Goto Top
Hallo zusammen,
der Support war bislang nicht hilfreich, aber ich habe das Problem lösen können.
Ich konnte eine kleine Infobox in Intune (Geräte - Übersicht) entdecken, in welcher sinngemäß Stand:

Aktuell werden Ihre Geräte über Office 365 verwaltet. Für den vollen Funktionsumfang bitte Intune MDM aktivieren.

Da ich nichts zu verlieren hatte, habe ich mal den Haken gesetzt und "migriert".
Siehe da, der "Bearbeiten"-Button war anschließend direkt vorhanden. face-smile

Mal sehen wo es als nächstes klemmt...

Grüße
ToWa