Intune Registrierungseinschränkungen lassen sich nicht konfigurieren
Hallo zusammen,
ich lerne und bastle fleißig an der Einrichtung unseres MDM.
Ich würde gern verhindern, dass die Benutzer private Geräte ins Intune aufnehmen, sei es absichtlich, oder unabsichtlich durch falsche Auswahl der Dialoge.
Gefunden habe ich, dass man eine Einschränkung je Geräteplattform erstellen und vor der Standardrichtlinie listen soll.
Also über:
Geräte registrieren | Registrierungseinschränkungen – Geräteplattform --> Einschränkung hinzufügen
Hier kann ich nun machen was ich will, ich lande beim Erstellen immer in der Meldung:
Früher (vor ~1 Jahr) gab es wohl eine Option der Gruppe "All Users" die privaten, wie auch gewisse Plattformen allgemein zu blocken: https://youtu.be/XsWCU5JwGig?t=298
Ich habe eben dazu ein Ticket bei Microsoft eröffnet, aber das dauert ja immer, ggf. hatte das Problem schon mal jemand?
Grüße
ToWa
ich lerne und bastle fleißig an der Einrichtung unseres MDM.
Ich würde gern verhindern, dass die Benutzer private Geräte ins Intune aufnehmen, sei es absichtlich, oder unabsichtlich durch falsche Auswahl der Dialoge.
Gefunden habe ich, dass man eine Einschränkung je Geräteplattform erstellen und vor der Standardrichtlinie listen soll.
Also über:
Geräte registrieren | Registrierungseinschränkungen – Geräteplattform --> Einschränkung hinzufügen
Hier kann ich nun machen was ich will, ich lande beim Erstellen immer in der Meldung:
Früher (vor ~1 Jahr) gab es wohl eine Option der Gruppe "All Users" die privaten, wie auch gewisse Plattformen allgemein zu blocken: https://youtu.be/XsWCU5JwGig?t=298
Ich habe eben dazu ein Ticket bei Microsoft eröffnet, aber das dauert ja immer, ggf. hatte das Problem schon mal jemand?
Grüße
ToWa
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6935436750
Url: https://administrator.de/forum/intune-registrierungseinschraenkungen-lassen-sich-nicht-konfigurieren-6935436750.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo ToWa,
ich habe die Sache auch lange getüftelt und diese wie folgt gelöst:
1. Microsft Entra Admin Center/Azure Active Directory/Geräte/Geräteeinstellungen - Benutzer dürfen Geräte in Azure AD einbinden: Keine
Damit wird unterbunden, dass Benutzer ihre Geräte dem AAD einbinden (=joinen). Ein „registrieren“ ist dennoch möglich.
Anmerkung: Beim Rollout der Geräte ist es unbedingt erforderlich, dass die Einstellungen im Microsoft Entra Admin Center/Azure Active Directory/Einstellungen/Mobilität/Microsoft Intune (MDM und MAM) auf:
• MDM-Benutzerbereich: Alle
• MAM-Benutzerbereich: Keine
festgelegt ist. Ansonsten wird das Gerät nicht im Mobile Device Management sichtbar und es werden keine Apps verteilt. Allerdings ist diese Einstellung wahrscheinlich abhängig ob die Apps den Benutzergruppen oder den Gerätegruppen zuweist.
2. Azure Active Directory registrierte Geräte MDM verwaltet:
Es ist Benutzern möglich registrierte Geräte über:
• Einstellungen/Konto/auf Arbeits- oder Schulkonto zugreifen + Nur bei der Geräteverwaltung registrieren und
• bei einer Installation oder Anmeldung in einer lokal installierten Office Anwendung, wenn das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv bleibt
im MDM (Endpoint Manager) als registrierte Geräte im MDM aufscheinen. Dies ist bei mir nicht gewünscht, da im MDM nur gejointe Geräte aufscheinen sollen!
„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.
Dadurch können Benutzer sich in den Office Anwendungen immer noch anmelden – da dies eine AAD-Registrierung ist und keine MDM-Registrierung! Wird das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv belassen kommt eine Fehlermeldung. Die Anmeldung in der Anwendung wird aber durchgeführt. Die Fehlermeldung bezieht sich auf die „MDM-Verwaltung“. Wird die Option bei der Office-Anmeldung deaktiviert wird aber eine AAD-Registrierung durchgeführt. Unter Windows/Einstellungen/Konten/Auf Arbeits- oder Schulkonto zugreifen ist dann nach wie vor ein Verbinden möglich.
vgl: https://ictschule.com/2020/11/01/office-365-gratis-auf-privaten-geraten- ...
Bei einem Rollout nehme ich dann temporär die Beschränkungen weg und danach setze ich diese wieder aktiv. Bei mir leicht möglich, da nicht laufend Geräte hinzukommen.
MfG
M.A.
ich habe die Sache auch lange getüftelt und diese wie folgt gelöst:
1. Microsft Entra Admin Center/Azure Active Directory/Geräte/Geräteeinstellungen - Benutzer dürfen Geräte in Azure AD einbinden: Keine
Damit wird unterbunden, dass Benutzer ihre Geräte dem AAD einbinden (=joinen). Ein „registrieren“ ist dennoch möglich.
Anmerkung: Beim Rollout der Geräte ist es unbedingt erforderlich, dass die Einstellungen im Microsoft Entra Admin Center/Azure Active Directory/Einstellungen/Mobilität/Microsoft Intune (MDM und MAM) auf:
• MDM-Benutzerbereich: Alle
• MAM-Benutzerbereich: Keine
festgelegt ist. Ansonsten wird das Gerät nicht im Mobile Device Management sichtbar und es werden keine Apps verteilt. Allerdings ist diese Einstellung wahrscheinlich abhängig ob die Apps den Benutzergruppen oder den Gerätegruppen zuweist.
2. Azure Active Directory registrierte Geräte MDM verwaltet:
Es ist Benutzern möglich registrierte Geräte über:
• Einstellungen/Konto/auf Arbeits- oder Schulkonto zugreifen + Nur bei der Geräteverwaltung registrieren und
• bei einer Installation oder Anmeldung in einer lokal installierten Office Anwendung, wenn das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv bleibt
im MDM (Endpoint Manager) als registrierte Geräte im MDM aufscheinen. Dies ist bei mir nicht gewünscht, da im MDM nur gejointe Geräte aufscheinen sollen!
„Workaround“: Im Endpoint Manager unter Geräte/Geräte registrieren eine Registrierungsbeschränkung aktivieren: Einschränkungen zum Gerätetyp/Plattformeinschränkungen: persönliches Eigentum, Windows (MDM): Blockieren.
Dadurch können Benutzer sich in den Office Anwendungen immer noch anmelden – da dies eine AAD-Registrierung ist und keine MDM-Registrierung! Wird das Hakerl „Verwaltung durch meine Organisation zulassen“ aktiv belassen kommt eine Fehlermeldung. Die Anmeldung in der Anwendung wird aber durchgeführt. Die Fehlermeldung bezieht sich auf die „MDM-Verwaltung“. Wird die Option bei der Office-Anmeldung deaktiviert wird aber eine AAD-Registrierung durchgeführt. Unter Windows/Einstellungen/Konten/Auf Arbeits- oder Schulkonto zugreifen ist dann nach wie vor ein Verbinden möglich.
vgl: https://ictschule.com/2020/11/01/office-365-gratis-auf-privaten-geraten- ...
Bei einem Rollout nehme ich dann temporär die Beschränkungen weg und danach setze ich diese wieder aktiv. Bei mir leicht möglich, da nicht laufend Geräte hinzukommen.
MfG
M.A.
Gruß ToWa!
@punkt 2 beschreibt die Angelegenheit, dass AAD registrierte Geräte im MDM (Endpoint Manager) aufscheinen, was ich aber nicht will. Ich will nur gejointe Geräte via MDM/MAM verwalten. Also mit registrierten Geräten will ich einfach nix zu tun haben. Durch die beschriebenen Workaround (zugegeben komplex und verstrickt) habe ich die Sache aber hinbekommen. Und ab jetzt gilt für mich (zumindest für eine Zeit lang): never touch....
Viel Erfolg.
MfG
M.A.
@punkt 2 beschreibt die Angelegenheit, dass AAD registrierte Geräte im MDM (Endpoint Manager) aufscheinen, was ich aber nicht will. Ich will nur gejointe Geräte via MDM/MAM verwalten. Also mit registrierten Geräten will ich einfach nix zu tun haben. Durch die beschriebenen Workaround (zugegeben komplex und verstrickt) habe ich die Sache aber hinbekommen. Und ab jetzt gilt für mich (zumindest für eine Zeit lang): never touch....
Viel Erfolg.
MfG
M.A.