dertowa
Goto Top

Microsoft Problem SSO (AD - Entra)?

Hallo zusammen,

ich habe seit gestern Nachmittag einen seltsamen/neuen Effekt in unserer Umgebung.
Kurz zum Aufbau:
Userverwaltung erfolgt im lokalen ActiveDirectory und wird per Azure AD Connect (Ver. 2.3.6.0) inkl. Passwörter ins Entra synchronisiert, nach wie vor erfolgt dies fehlerfrei.
Durch die aktive Kennwort-Hashsynchronisierung habe ich Microsoft Entra nahtloses einmaliges Anmelden aktiv, was seit einer gefühlten Ewigkeit wunderbar funktioniert.

Genutzt werden Windows 10 Clients (aktueller Stand) und Office 365 Desktop (Current & SemiAnnual Kanäle).

Nun zeigt sich ohne Änderung an der Konfiguration ein Verhalten, welches die Nutzer zur Anmeldung auffordert.
Vorzugsweise fällt dies in Outlook auf, da dort aktiv danach gefragt wird und nicht einfach nur ein Warndreieck am Benutzersymbol erscheint (was bei Kontofehlern bspw. in Word der Fall ist).

bild1

Die Mitarbeiter müssen sich also aktiv anmelden, spannend dabei ist, dass das nicht direkt nach dem PC Start oder dem Öffnen von Outlook auftritt, sondern mal 1 Stunde oder 2,5 Stunden später.
Ebenfalls interessant, dass es OneDrive scheinbar nicht tangiert.

Was die Clients bislang gemeinsam haben (habe noch nicht alle durch), die neusten Officeversion wurde am Montag installiert.


Nun bin ich ein wenig durch die Logs im Entra gestiegen, auch mit dem Microsoftsupport.
Spannend sind die "Sign-in logs" der Benutzer, denn damit wird klar, das Problem ist neu:
user-active

Denn es gibt keine historischen Daten, 99% der historischen Logins liefen unter "non-interactive".
Da ich noch in der Analyse stecke und auch auf Rückmeldung des Supporters von Microsoft warte, welcher von den PCs einen Auszug des "dsregcmd /status" haben wollte, hier ziemlich allgemein gefragt:

  • noch jemand mit der Konstellation und aktuellen Problemen?
  • jemand das Problem schon mal gehabt und nen genaueren Tipp für mich?

Grüße
ToWa

Content-ID: 42175611343

Url: https://administrator.de/contentid/42175611343

Ausgedruckt am: 18.12.2024 um 21:12 Uhr

anteNope
anteNope 20.03.2024 um 14:19:05 Uhr
Goto Top
Habe hier genau das gleiche Problem. Bei zig Kunden mit SSO über AD-Sync ist heute Party angesagt.
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.

Ab wann darf man Microsoft eigentlich so einen Aufwand in Rechnung stellen?
dertowa
dertowa 20.03.2024 um 14:31:00 Uhr
Goto Top
Zitat von @anteNope:

Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.

Das ist hier tatsächlich nicht der Fall, es funktioniert immer direkt.
Was bei uns zu Irritation führt, aber ein hausgemachtes Problem ist, dass der Anmeldename ungleich der E-Mailadresse des Nutzers ist.
Da in dem Dialog aber "E-Mail" steht, werden die Benutzer aufs Glatteis geführt.

Zudem habe ich die Geräteregistrierung im Entra nur mit MFA erlaubt, nach der Passworteingabe kommt dann also noch der berühmte Abfragedialog, der mich gestern Nachmittag selbst aus der Bahn warf:
Microsoft MFA erstmal zwangsweise die App?

P.S.: Aber dann bin ich schon mal froh nicht allein zu sein, denn das bestätigt mir, dass es keine Konfigurationsänderung meinerseits war. face-big-smile

Grüße
ToWa
anteNope
anteNope 20.03.2024 um 15:21:24 Uhr
Goto Top
Und nun auch bei Kunden die gar kein SSO haben. Genial! Rockt so richtig!
Delta9
Delta9 20.03.2024 um 16:35:25 Uhr
Goto Top
Ist es evtl so etwas wie hier?

BornCity



Bei uns ist dies auch schon ohne Ankündigung bei vereinzelten Nutzern aufgetreten. Es muss im Bestätigungsdialog nichts eingetragen werden, die Bestätigung der Meldung reicht.

Trotzdem hat dies aber ausgereicht, dass der Anwender nicht weiter wusste und somit sich Outlook und Teams (Office 365) sich nicht synchronisiert hatten. Das Fenster ist nicht wirklich präsent zu sehen und aufgrund des Synchronisierungsfehlers hatte sich Outlook sogar aufgehangen. Nach der Bestätigung war alles wieder in Ordnung. Klasse.

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/upcoming-chan ...;
anteNope
anteNope 20.03.2024 aktualisiert um 16:44:30 Uhr
Goto Top
Genau das Fenster kommt irgendwann mit dem aka.ms/sso-info.
Ist scheinbar ein globales Ding, mittlerweile sind auch die Privatkunden-Logins betroffen.

Haben die das mal irgendwo angekündigt? Ist das einfach nur an mir vorbeigegangen?!
ThePinky777
ThePinky777 20.03.2024 um 17:42:41 Uhr
Goto Top
Wir haben heute leute nur 2-3 von 400 wo wenn man word oder excel oder so aufmacht die applikation wieder sofort zusammen klappt.
Der witz im offenen Internet klappt dann das öffnen wieder, hinter der Firewall gehts nicht mehr.
Firewall bringt aber keine Blocks oder Allows im Logfile....
Total strange...
dertowa
dertowa 20.03.2024 um 18:07:25 Uhr
Goto Top
Hmm das Fenster kommt bei uns allerdings nicht, ggf. habe ich da mit einer Konfiguration aber bereits vorgesorgt?
Mittlerweile muss man ja "in Microsoft" studiert haben und eine eigene Sekretärin beschäftigen, um die Azure Verknüpfungen und die stetigen Änderungen mitzubekommen. face-big-smile

An den privaten Systemen hatte ich bislang noch keine "Effekte" und auch die an Entra angebundenen Systeme per Intune waren bislang nicht betroffen.
dertowa
dertowa 21.03.2024 aktualisiert um 10:44:29 Uhr
Goto Top
Kleines Update.
Heute Morgen bei keinem diesen Effekt gehabt, der bereits gestern eine Loginaufforderung bekam.
Allerdings zwei neue.

Ein Kollege der das gestern Nachmittag hatte und dann in der sche* egal Haltung einfach nach Hause ist.
Heute Morgen war das Problem aber noch existent nach dem Systemstart.
Eine Kollegin, welche gestern Nachmittag nicht mehr gearbeitet hat, bekam heute Morgen die Aufforderung.

Der Microsoft Azure Technical Advisor ist mit mir gerade alle Tenanteinstellungen zur MFA durchgegangen, alles richtig bzw. alles aus. face-big-smile
Er hadert immer noch mit dem Verständnis, dass ich MFA anfrage, sofern ein User ein Gerät im Entra registrieren möchte, denn ich möchte meine lokalen Geräte nicht alle im Entra sehen.

Das hat bisher auch wunderbar geklappt, dadurch, dass sich eben niemand anmelden musste...
dertowa
dertowa 03.04.2024 um 13:50:10 Uhr
Goto Top
Hallo zusammen,
kurzes Update.
Microsoft hat hier übrigens bislang keine Ahnung, kann nur sagen, dass es kein globales Problem ist.

Ich habe allerdings eine Vermutung und ggf. könnt ihr mir dazu etwas sagen?

Vor einiger Zeit hatte ich mal mit Conditional Access begonnen und die Named locations angepasst.
Also den Firmenstandort auf Germany gesetzt und eine Trusted-IP range zum Standort eingetragen.

Zu finden unter: Microsoft Entra ID -> Protection -> Conditional Access -> Names locations

Danach war natürlich wieder irgendwas anderes und das Thema wurde bislang nicht weiter verfolgt.
Bei meiner möglichen Ursachensuche wurde ich dann auf den kleinen Schalter aufmerksam:
1

Der leitet mich zum alten MFA Dialog:
2

Der sollte aber eigentlich gar nicht mehr genutzt werden, da ich bereits auf die neuen MFA Richtlinien migriert habe.
Vielleicht wird er aber darüber dennoch genutzt...?

Grüße
ToWa
dertowa
dertowa 10.04.2024 um 12:51:00 Uhr
Goto Top
Hallo noch mal,
weitere Tests sind durch, im MFA Dialog die lokalen IPs ergänzt und Skip multi-factor aktiviert.

Keine Änderung beim SSO.

Anschließend die Änderung rückgängig gemacht und die Named localions aus EntraID gelöscht.

Keine Änderung beim SSO.

Microsoftsupport ist überfragt und hat keine Idee.
Die SSO Konfiguration wurde kontrolliert und für i.O. befunden.

Bezeichnend ist, dass SSO bei OneDrive immer funktioniert, betroffen sind nur Programme wie Office (Word, Excel,...) für die Lizenz und darüber hinaus bei Outlook auch der Zugriff auf das E-Mailkonto. Hinzu kommt der Microsoft Edge für die Synchronisation.

Das Thema bleibt übrigens auch mit den neusten Patches von gestern offen und betrifft sowohl Windows 10 als auch Windows 11, wobei das OS damit eher weniger zu tun hat.

Jemand noch eine fixe Idee?
Ansonsten bleibt wohl nur eine Zwangseinführung von Conditional Access, in der Hoffnung, dass danach die Ausnahmen für SSO wieder greifen, was ich aber noch skeptisch sehe.

Grüße
ToWa
dertowa
dertowa 12.04.2024 um 10:49:08 Uhr
Goto Top
Weiteres kleines Update, da ich gerade auch bei borncity über eine Info gestolpert bin.
Gestern habe ich weitere Punkte abgearbeitet:
...nichts was uns irgendwie betreffen sollte.
  • Troubleshooting geprüft:
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot-c ...
Ein Punkt, den der Support bislang auch nicht geprüft hatte ist das Ticket des AZUREADSSOACC:
ticket
Klappt offensichtlich. face-big-smile

Eine Auffälligkeit gab es noch bei einem EntraID - joined Client.
entra

Der Dialog von Outlook ist/war neu, für diesen User ist tatsächlich MFA aktiviert.
dertowa
Lösung dertowa 12.04.2024 aktualisiert um 12:13:14 Uhr
Goto Top
Da soeben ein Kommentar bei borncity auf einen Workaround des Microsoftsupport verweist:
1- Sign out from office Apps.
2- Add this reg in registry editor:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001  
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001  
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableAADWAM"=dword:00000001  
3- Delete the keys under Identities.
4- Sign in again.
Quelle: Anonymous

Habe ich das gerade an meinem Testsystem mal durchgespielt.

  • Für Office scheint das erstmal ein funktionierender Workaround, auch bei einem neuen Profil klappt dies, wenn die Registryeinträge vor dem ersten Öffnen eines Office-Programms gesetzt werden.

  • Bei Microsoft Edge tut sich da leider nichts, klar die Einträge sind auch unter "Office". Hier ist Benutzername und Kennwort erforderlich, dann kommt der o.g. aka.ms/sso-info - Hinweis und mit Weiter ist der Login abgeschlossen.

  • Das neue Microsoft Teams zweigt den Account beim ersten Öffnen an, möchte dann aber auch noch mal das Kennwort, kommt dann mit der o.g. aka.ms/sso-info - Meldung raus, welche ebenfalls mit Weiter übergangen werden kann.

Mal wieder Anwender schulen, weil nun neue Dialoge erscheinen?
Ist das als Workaround temporär? Ist was zu tun, wenn Microsoft das Thema in einem künftigen Update bereinigt?

Grüße
ToWa

P.S.: Hier die Inhalte der entsprechenden Reg-Dateien zur einmaligen Verteilung.
Für den Client:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin]
"BlockAADWorkplaceJoin"=dword:00000001  

Für den Benutzer:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity\Identities]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001  
"DisableAADWAM"=dword:00000001  

Ich markiere das erstmal als Lösung, auch wenn es sich nur um einen Workaround handelt.
dertowa
dertowa 15.04.2024 um 23:35:23 Uhr
Goto Top
Morgen mal das neue (optionale) Windows 10 Update testen:
https://blogs.windows.com/windows-insider/2024/04/15/releasing-windows-1 ...

Da stehen zwei komische Punkte drin:
This update includes the following features and improvements:

  • New! This update starts the rolls out of account-related notifications for Microsoft accounts in Settings > Home. A Microsoft account connects Windows to your Microsoft apps. The account also backs up all your data and helps you to manage your subscriptions. You can also add extra security steps to keep you from being locked out of your account. This feature displays notifications across the Start menu and Settings. You can manage your Settings notifications in Settings > Privacy & security > General.

  • This update addresses an issue that affects app licensing. Because of this, Copilot in Windows (in preview) does not work as you expect.

Kann es denn sein, dass der Copilot Teil des Problems ist...
ToWa
NordicWorker
NordicWorker 17.04.2024 um 14:54:04 Uhr
Goto Top
Hallo in die Runde!

da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage: Gibt es seitens Microsoft dazu eine Lösung oder eine Info, dass daran gearbeitet wird? Wir haben hier leider keinen vernünftigen Support.

Vielen Dank im voraus!
dertowa
dertowa 17.04.2024 um 15:49:36 Uhr
Goto Top
Zitat von @NordicWorker:
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage:

Salut,
aktuell gibt es nur den Workaround und der ist doch auch unproblematisch?
Das Problem ist wohl bekannt, auch wenn das noch nicht so offiziell kommuniziert wurde, aber der Workaround kommt ja vom Microsoftsupport.

Ich habe die Registryeinträge bei uns über eine GPO-Batch beim User aufgeräumt und gesetzt und mir einen Marker angelegt, so dass die Batch nicht mehrfach ausgeführt wird.
Den Eintrag in HKLM setze ich einmalig über die GPO direkt.

Sollte es eine Lösung für das Problem geben, kann ich das ziemlich einfach wieder aufräumen.

Unser indischer MS-Supporter wartet noch auf interne Rückmeldungen, da aber ebenfalls private Accounts betroffen sind, wird sich MS dessen schon bewusst sein, dass da eine Abhilfe kommen muss.

Grüße
ToWa
dertowa
dertowa 23.04.2024 um 09:10:40 Uhr
Goto Top
Heute Morgen das erste Mal seit verteilen des Workarounds an einem Rechner eine Anmeldeaufforderung für Office erhalten.
Interessant dabei, im Anmeldefenster wurde statt der Mailadresse automatisch eine Session-ID eingetragen.

Testweise habe ich noch mal die Einträge unter Identities gelöscht und eine erneute Benutzeranmeldung initiiert.
Damit war das Problem wieder beseitigt, ohne dass der Mitarbeiter sich anmelden musste.

Der indische MS-Supporter hat das vor einigen Tagen eskaliert, nachdem er mir einen "staged rollout" für " seamless single sign-on" verkaufen wollte. Ließ sich natürlich gar nicht durchführen, da im Tenant bereits SSSO aktiv ist. *kopfschüttel*

Seit des Eskalation ist Ruhe in der Kommunikation eingekehrt.

Grüße
ToWa
MasterPhil
MasterPhil 25.04.2024 aktualisiert um 15:23:58 Uhr
Goto Top
Bei uns äußert sich das Problem wie folgt:

Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.

Wir haben immer mehr Kunden mit dem Problem. Anfangs hatten wir die Office-Anwendungen im Verdacht, da Single Sign On im Browser stehts funktioniert. Wir haben bei den betroffenen Kunden Entra ID Connect im Einsatz mit aktiviertem Einmaligem Anmelden (SSO). Seit Jahren hat das Robust funktioniert bis vor kurzem, als immer mehr Maschinen ausgestiegen sind. Bei einem Kunden sind 200 Endgeräte betroffen, welche im Shared PC Modus laufen. Hier ist es besonders ärgerlich, da SSO bei jedem Anmeldevorgang aufs neue benötigt wird.

Wir haben bei Microsoft mehrere Tickets eröffnet, zuletzt beim Entra Support. Bisher haben wir von Microsoft keine Hilfe erhalten und hatten angefangen lokal an den Geräten zu suchen, dabei natürlich zuerst die Updates geprüft. Geräte, die seit dem letzten Patchzyklus aus waren, scheinen problemlos zu laufen, weswegen wir ein Service Stack Update aus März im Verdacht haben, was sich nicht mehr deinstallieren lässt und in Windows die Build Version anhebt. Es sind seitens Microsoft aber keine aktuellen Probleme in Verbindung mit SSO benannt. Sehr ärgerlich ist es bei unseren Nicht-Persistenten Umgebunden, wo Office Apps bei jedem Anmeldevorgang im Hintergrund aktiviert werden (bisher).
Habbor
Habbor 25.04.2024 um 19:02:13 Uhr
Goto Top
Hm, bin auch gespannt wie eine saubere dauerhafte Lösung aussieht, der angepasste wert in der registry wird ja irgendwo von MS auch als „besser nicht anpassen „ beschrieben…


https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...
NordicWorker
NordicWorker 29.04.2024 um 13:38:06 Uhr
Goto Top
Moin!

Zitat von @Habbor:

Hm, bin auch gespannt wie eine saubere dauerhafte Lösung aussieht, der angepasste wert in der registry wird ja irgendwo von MS auch als „besser nicht anpassen „ beschrieben…


https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...

Das sehe ich auch so und hoffe auf ein schnelles Windows oder Office Update.

Wir haben hier ca. 300 Instant Clones VMs mit Office 365 und Shared Computer Licensing.
Der Workaround funktioniert zwar, aber es wird davon abgeraten.
Sollten wir gezwungen werden das Golden Image zu aktualiseren, stehen wir mit den 300 vPCs vor dem gleichen Problem. Leider.. Ich bin also für jede Lösung hier im Forum sehr dankbar.
dertowa
dertowa 29.04.2024 aktualisiert um 13:51:45 Uhr
Goto Top
Hallo zusammen,
kleines Update. Nachdem ich nun seit 24.04.2024 mit meinem neuen indischen Freund kämpfe eine Dateiübertragung hinzubekommen, kann ich heute endlich berichten. face-big-smile
Kurz in Stichpunkten wie das bei Microsoft läuft:
  • Anleitung zum Skript per Mail, dass das Skript zum Download im Ticket hinterlegt ist.
  • Erstmal geklärt unter welchen Voraussetzungen dies auszuführen ist...
  • Antwort, am besten frisches Userprofil ohne Workaround Registryeinträge
  • Ticket im Adminportal gar nicht einsehbar (kein offenes Ticket)
  • Microsoft verweist auf portal.azure.com und dort auf die Tickets <-- dort steht es, allerdings ohne Anhänge face-big-smile
  • Microsoft schickt mir einen Link zum Dateiaustausch <-- dort kann ich aber nur hochladen und keine Dateien sehen face-big-smile
  • Letztendlich hat er mir das Skript per E-Mail über seine persönliche Microsoft-Adresse und nicht über das Ticketsystem geschickt

Nun aber zum eigentlichen Thema.
Das Skript nennt sich SeamlessSSO-DataCollectorV1.ps1 und sammelt diverse Daten (angegebene Version im Skript ist V1.2).
screenshot 2024-04-29 134247

Unverständnis gab es bei mir dann hinsichtlich der Anleitung, im Microsoft Edge oder Google Chrome sollte man noch das Logging aktivieren (edge://net-export) und beilegen, damit sollte man dann https://portal.office.com besuchen.
Die Website brauchte dann die Mailadresse, aber kein Passwort, semi-seamless single sign-on.

Das spiegelte aber nicht meine Probleme wieder, daher habe ich direkt ein zweites Tracing angefertigt mit den problematischen Logins über:
  • Account/Profillogin Microsoft Edge
  • Login Microsoft Office (Word Desktop)
  • Login Microsoft Teams

Nun heißt es wieder abwarten, denn in Indien ist nun natürlich schon wieder Feierabend. face-big-smile

Grüße
ToWa
dertowa
dertowa 03.05.2024 um 18:56:20 Uhr
Goto Top
Antwort des Supporters von heute.
Das Backendteam konnte keine Probleme in den Logos erkennen.
Man hat das nun noch mal eskaliert.

Ich vermute das zieht sich so nun bis zum nächsten Patchday auf wundersame Art und Weise die Probleme verschwinden. face-smile

Grüße
ToWa
MasterPhil
MasterPhil 03.05.2024 um 19:14:52 Uhr
Goto Top
Zitat von @MasterPhil:

Bei uns äußert sich das Problem wie folgt:

Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.


Äußert sich das Problem bei dir so wie von mir beschrieben? Generell suche ich auch recht viel in Reddit oder MS Technet-Foren, aber wir scheinen hier ziemlich wenige zu sein, die solche Probleme melden. Bei uns fällt es auch nur bei den Geräten auf, die nicht persistent sind, wie Shared PCs oder Nicht-Persistente VDI Umgebungen.
anteNope
anteNope 03.05.2024 um 20:19:20 Uhr
Goto Top
Bei mir tritt es in allen Umgebungen auf:
  • PCs ohne AD mit privat Konten
  • PCs ohne AD mit Business-Konten
  • PCs mit AD ohne SSO mit Business-Konten
  • PCs mit AD mit SSO mit Business-Konten

Mit MFA, ohne MFA ..., bunt gemischt durch die Bank. Ich kann kein Schema erkennen.
dertowa
dertowa 06.05.2024 um 12:36:17 Uhr
Goto Top
Zitat von @dertowa:

Ich markiere das erstmal als Lösung, auch wenn es sich nur um einen Workaround handelt.

Kurze Info zum Workaround, dieser funktioniert nicht 100%ig.
Seit Veröffentlichung des Workarounds ist nun bei zwei Accounts bei Outlook ein Anmeldefenster aufgeploppt:
screenshot 2024-05-06 085938

Lustig, darin steht nur die Session-ID, mit dem Klick auf Weiter kann das System damit natürlich nichts anfangen.
ALs dies zum ersten Mal auftrat half es auch nicht den Anmeldenamen einzutragen, ich musste in der Registry die Identities noch mal löschen.
Danach was SSO wieder möglich.

Beim heutigen Auftreten war es ausreichend die SID durch den Anmeldenamen zu ersetzen, danach ging es ohne Passwort weiter.

Grüße
ToWa
fenkor24
fenkor24 07.05.2024 um 15:53:18 Uhr
Goto Top
Hi, wir stehen mit Microsoft in Kontakt und haben vier Lösungsschritte (dsregcmd -leave / identity reg-key deletion / ADD BrokerPlugin Reset / TokenBroker Service stop, delete, start) durchgespielt auf unsere Hybrid joined AD. Die tokenbroker Lösung brachte bisher eine stabile Lösung.

Stop the tokenbroker service from an admin powershell:

Set-Service TokenBroker -StartupType Disabled

Stop-Service TokenBroker -Force -PassThru

· Delete the account files in the following folder:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Accounts

· Take backup copy of the following file and then delete it:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\settings.dat

· Rename (or delete) this registry key:

Computer\HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\TokenBroker\DefaultAccount ---> Computer\HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\TokenBroker\DefaultAccount_backup

· Restart the tokenbroker service (from admin cmd)

Set-Service TokenBroker -StartupType Manual

Start-Service TokenBroker -PassThru
dertowa
dertowa 07.05.2024 um 20:02:15 Uhr
Goto Top
Zitat von @fenkor24:

Hi, wir stehen mit Microsoft in Kontakt und haben vier Lösungsschritte durchgespielt auf unsere Hybrid joined AD.
Mit dem kleinen, aber feinen Unterschied, dass bei uns nix hybrid-joined ist.
Die Geräte sind im lokalen AD und die Cloud kennt diese nicht.

Grüße
ToWa
MasterPhil
MasterPhil 08.05.2024 um 09:22:55 Uhr
Goto Top
Bei uns betrifft es Geräte, die via Intune als Shared PC konfiguriert sind. Wir haben daher keine persistenten Profile.

Die HKCU Pfade in der Registry sowie localappdata werden bei uns immer frisch angelegt.

Leider haben wir noch keine offizielle Info von Microsoft trotz mehrerer Tickets. Der indische Support sendet uns Links und fragt Dinge die völlig zusammenhanglos sind.
dertowa
dertowa 10.05.2024 um 08:46:44 Uhr
Goto Top
Guten Morgen am Brückentag,
der indische Support hat heute Morgen seine Pflicht erfüllt und einfach noch mal ne Mail rausgehauen.
Ich sollte:
Wer dies hier aufmerksam verfolgt hat, weiß dass dies bereits getan wurde und sogar per Fernwartung mit dem Inder kontrolliert wurde.

Naja nun ist das noch mal per Screenshot festgehalten.

Dann kam aber noch mal etwas Neues:

Nicht mehr und nicht weniger.
Ich habe es also mal nach Gefühl ausgeführt, da mir keine Details vorlagen und es einen Option gab um Anmeldeprobleme zu beheben. Geholfen hat es nicht, wie zu erwarten war. Ggf. habe ich es aber falsch benutzt.

Grüße
ToWa
NordicWorker
NordicWorker 13.05.2024 um 10:54:05 Uhr
Goto Top
Danke für die Infos!

Auch hier gibt es ein paar Neuigkeiten zum Thema:
https://www.borncity.com/blog/2024/05/13/azure-entra-id-microsoft-bestti ...

Mal sehen wie lange das noch dauern soll.
dertowa
dertowa 14.05.2024 um 00:09:25 Uhr
Goto Top
Zitat von @NordicWorker:

Auch hier gibt es ein paar Neuigkeiten zum Thema:
https://www.borncity.com/blog/2024/05/13/azure-entra-id-microsoft-bestti ...

Wobei das dort genannte es in meinen Augen gar nicht so trifft. Also zumindest ist unser Problem anders.
Es mag auf ähnliche Ursache zurückzuführen sein, aber hier wird niemand vom SSO abgemeldet.
Es erfolgen "einfach" unnötige Abmeldeaufforderungen.

Grüße
ToWa
NordicWorker
NordicWorker 22.05.2024 um 15:48:37 Uhr
Goto Top
Mahlzeit!

Die neuesten Windows und Office Updates beheben scheinbar das Problem bei uns.
Sind noch in der Testphase, aber sieht bisher ganz gut aus.
dertowa
dertowa 23.05.2024 um 10:11:34 Uhr
Goto Top
Zitat von @NordicWorker:

Die neuesten Windows und Office Updates beheben scheinbar das Problem bei uns.

Das steht für mich morgen noch auf dem Plan.
Da gestern die Rückmeldung vom indischen Support kam, dass in den Logos nach wie vor keine Auffälligkeiten zu finden sind und das noch mal eskaliert wurde.

Mal sehen was der Freitag bringt.
Grüße
ToWa
dertowa
dertowa 24.05.2024 um 09:46:07 Uhr
Goto Top
Zitat von @NordicWorker:

Die neuesten Windows und Office Updates beheben scheinbar das Problem bei uns.

Saut,

gerade am Testsystem probiert, leider Fehlanzeige. face-sad
  • Windows 10 (22H2)
  • Office 365 v16.0.16731.20674
  • keine Registrykeys des Workarounds
  • neues Benutzerprofil

Effekte bleiben:
  • Office erkennt den Benutzer nicht und fragt nach der Anmeldung (gibt auch keinen Benutzer vor).
  • Edge meldet den Benutzer ebenfalls nicht an und gibt auch keinen Benutzer vor.
  • Teams (New) zeigt zwar den angemeldeten Benutzer, fragt mich dann aber nach dem Kennwort.
  • OneDrive funktioniert wie eh und je automatisch.

Grüße
ToWa
logon1
logon2
logon
newit1
newit1 24.05.2024 um 09:49:27 Uhr
Goto Top
@dertowa

Kann ich bestätigen.
Die installierten Updates lösen nicht das Problem.
dertowa
dertowa 24.05.2024 um 11:41:23 Uhr
Goto Top
Wie ich gerade vom indischen MS-Support höre, müssen wir am Montag erneut das Problem aufnehmen und Logs erfassen, damit das Problem eskaliert werden kann.
Grund, die erfassten Logs haben nur eine Gültigkeit von 15 bis 30 Tagen. face-big-smile

Die haben doch nen Sockenschuss.

Grüße
ToWa
dertowa
dertowa 27.05.2024 um 14:41:12 Uhr
Goto Top
Weiter geht es...
Das Meeting heute war kurz und nicht sonderlich erfüllend.
Der indische MS-Support wollte den Netzwerktraffic mit Fiddler geloggt haben.
Das hat so semi gut funktioniert, da nach Aktivierung des HTTPS Trafficdebugging gar kein Login in den Programmen mehr möglich war.
Error 404 für den Verweis der Anmeldeprompts auf login.microsoftonline.com.
Wird irgendwas mit dem Zertifikat zu tun haben, was das Programm ins System integriert, was aber wieder Adminrechte benötigt, ist letztlich aber nicht meine Baustelle. face-big-smile

Grüße
ToWa
dertowa
dertowa 11.06.2024 um 19:04:21 Uhr
Goto Top
Hier noch mal ein kurzes Update.
Also Microsoft will ein Trafficlog mit Fiddler, leider bekommen auch die Supportmitarbeiter das Tool nicht ans Rennen.
Sobald der HTTPS Traffic mit dem Fiddler-Zertifikat aufgebrochen werden soll, landet jede Microsoftanmeldeseite im Error 404 (was ich erstmal nicht schlecht finde).

Wir fahren nach wie vor mit dem Workaround, was bezogen auf die Office-Applikationen bislang ohne erkennbare Seiteneffekte läuft. Dass Teams und Edge vom Workaround nichts verstehen ist eben etwas blöd.

Gibt es eigentlich eine Alternative zum sSSO?
Ich hatte mal irgendetwas gelesen, dass das Azure AD Connect Tool auch wieder auf der Abschussliste steht, da es Microsoft ein Dorn im Auge ist, dass das onPrem läuft?

Grüße
ToWa
anteNope
anteNope 11.06.2024 aktualisiert um 20:27:47 Uhr
Goto Top
Mich würde auch interessieren was denn jetzt hier Phase mit SSO ist!
In zwei Wochen wollte ich eigentlich eine neue Domäne hochziehen und für die Benutzbarkeit der Leute SSO einrichten. Muss man jetzt zu den bekannten alt bekannten GPO-Einträgen (siehe https://learn.microsoft.com/de-de/entra/identity/hybrid/connect/how-to-c ..) jetzt noch neue hinzufügen oder was ist hier jetzt der Status Quo?

Der aktuelle Zustand ist echt nicht hinnehmbar! Bei größeren Installationen sprießt nun die Schatten-IT (ich weiß wie das geht Mentalität) aus allen Fugen.
dertowa
dertowa 24.06.2024 um 20:41:25 Uhr
Goto Top
Noch mal ein kurzes Update, neuer Sachbearbeiter neues Glück. face-smile
Heute mal Logs mit Wireshark gezogen, aber die fischen im Trüben, mit Fiddler sollte ich den Loginprozess loggen weswegen das Problem mit dem Aufbrechen des HTTPS Traffic zu Tage kam.

Mit Wireshark haben wir heute wieder vorn angekommen und waren uns einig, dass sSSO ja bereits gescheitert ist da er nach Logindaten fragt.

Aber gefühlt dreht sich alles im Kreis.
Ein wenig zermürbend.

Grüße
ToWa
dertowa
dertowa 04.07.2024 aktualisiert um 17:08:16 Uhr
Goto Top
Microsoft macht mich auf einen Artikel aus 10/2023 aufmerksam und fragt ob das Modul installiert sei.
MSA WAM Plugin

Ich habe dem neuen MS Mitarbeiter zu Liebe mal den Powershellbefehl auf dem Testsystem laufen lassen:
1000003139

Schlau werde ich daraus zurzeit aber noch nicht.

Grüße
ToWa
anteNope
anteNope 04.07.2024 aktualisiert um 20:08:16 Uhr
Goto Top
Ich habe die Tage eine neue Domäne mit AzureAD-Connect fertig gemacht und die Anleitung bezüglich SSO befolgt. Morgen geht das System live und ich werde berichten ob das so wie "zuvor" funktioniert, oder ob das einfach schlicht kaputt ist ...
NordicWorker
NordicWorker 05.07.2024 um 15:10:36 Uhr
Goto Top
Hallo nochmal!

Ich frage hier mal in die Runde, da bei uns seit April auch kein SSO mehr funktioniert.
Wir reden doch hier alle von dieser Änderung der EU -Richtlinie richtig?
Ich denke, Microsoft wird sich da nicht so schnell bewegen und was ändern.
Oder gibt es da noch ein anderes Problem?
Was ich außerdem nicht verstehe, warum nicht alle Clouddienste betroffen sind z.B. der Onedrive Client funktioniert.

Viele Grüße!
dertowa
dertowa 07.07.2024 um 00:27:01 Uhr
Goto Top
Zitat von @NordicWorker:

Wir reden doch hier alle von dieser Änderung der EU -Richtlinie richtig?

Tun wir das?
Wir vermuten dies, aber es wäre doch ein Leichtes über den Support bei Anfragen vermitteln zu lassen, dass es eine gesetzliche Änderung gibt.

Sollte es daran liegen, finde ich es ziemlich bedenklich die geschäftlichen Prozesse in dieser Form zu bevormunden.

Grüße
ToWa
anteNope
anteNope 07.07.2024, aktualisiert am 09.07.2024 um 07:35:56 Uhr
Goto Top
Zitat von @NordicWorker:
Ich frage hier mal in die Runde, da bei uns seit April auch kein SSO mehr funktioniert.
Wir reden doch hier alle von dieser Änderung der EU -Richtlinie richtig?

In einer frischen Umgebung mit Domäne und EntraID inkl. Sync passiert folgendes wenn man die SSO-Anleitung von Microsoft befolgt hat:

  • Benutzer meldet sich am PC erstmalig mit seinem Benutzer an
  • Kein Programm wird automatisch angemeldet
  • Öffnet man EDGE, wird man gefragt ob man sich anmelden möchte (sollte nicht kommen!)
  • Es wird nach der Mail-Adresse gefragt (wird nicht vorgeschlagen)
  • clipboard01_sso
  • Es kommt dann die tolle Info bezüglich SSO
  • clipboard04_sso-info
  • Dann wird auch Word eingerichtet und bei Outlook die Mail-Adresse vorgeschlagen

Falls man "nur in dieser App anmelden" anklickt, bleiben die anderen Programme außen vor:
clipboard02_word

Also in kurz, die tolle neue "Infoseite" bezüglich SSO, verhindert die automatische SSO-Anmeldung. Scheinbar muss man die erstmal quittieren. Es ist nun quasi eine manuelle SSO-Anmeldung, wie man es auch kennt wenn man KEINE AD mit aktiviertem Sync und SSO hat ...

Klasse Sache das ... ich wüsste jetzt nicht wie ich für die Benutzer die Infoseite "vorab" akzeptieren kann.
NordicWorker
NordicWorker 08.07.2024 um 09:37:35 Uhr
Goto Top
ich wüsste jetzt nicht wie ich für die Benutzer die Infoseite "vorab" akzeptieren kann

Genau das ist die Änderung durch die Richtlinie. Im Moment kann ich das nicht verhindern.
Der Benutzer soll zum SSO zustimmen. Er (oder sie) soll in der Lage sein, sich mit einem anderen Konto anzumelden.
dertowa
dertowa 08.07.2024 um 11:29:54 Uhr
Goto Top
Zitat von @NordicWorker:

Der Benutzer soll zum SSO zustimmen. Er (oder sie) soll in der Lage sein, sich mit einem anderen Konto anzumelden.

Was vollkommener Blödsinn ist, da das Unternehmen die Accountnutzung vorgeben soll und ggf. auch private Logins gesperrt hat.

Da es mal wieder nur die EU trifft hat der Support auch keinen Schimmer und sieht kein globales Problem.
Also, wo kann ich nun der EU eine Rechnung zukommen lassen?

Grüße
ToWa
NordicWorker
NordicWorker 08.07.2024 um 15:02:58 Uhr
Goto Top
Zitat von @dertowa:
Was vollkommener Blödsinn ist, da das Unternehmen die Accountnutzung vorgeben soll und ggf. auch private Logins gesperrt hat.

Und auch die Option, ob die Anmeldung automatisch stattfinden soll gibt es ja per GPO.
Das Unternehmen konnte ja tatsächlich entscheiden, wie es funktionieren soll.
Nicht schlecht..
Delta9
Delta9 08.07.2024 um 16:41:19 Uhr
Goto Top
Nei, nach EU Recht muss der Benutzer das entscheiden. Es sind nach DSGVO ja seine Daten die bei SSO direkt übertragen werden vor allem da ja alles mögliche nach einem SSO übertragen wird.


Wäre ja noch schöner wenn der Admin per GPO die Zustimmung für den Benutzer geben kann.

Ich finde das auch blöd, aber so interpretiert MS die Vorgaben der EU.
anteNope
anteNope 09.07.2024 aktualisiert um 07:42:09 Uhr
Goto Top
Hier noch ein Nachtrag. Gestern den RDS auf Basis von Server 2022 STD in Betrieb genommen und die Benutzer eingerichtet / angemeldet. Auf dieser und nur dieser Maschine funktioniert SSO. THE FUCK? Aber, wenn ein Nutzer es wagt sein Passwort zu ändern, müssen die Programme trotzdem wieder neu angemeldet werden.

Der absolute Flickenteppich ...

Also, wo kann ich nun der EU eine Rechnung zukommen lassen?
Das wüsste ich auch gerne! Prüfe gerade die Möglichkeit die Lizenzgebühren von MS zu kürzen ... echt lächerlich die ganze Aktion ...
dertowa
dertowa 31.07.2024 um 09:04:32 Uhr
Goto Top
Hier noch mal ein kurzes Update.
Ich bin beim Microsoftsupport wieder beim ursprünglichen indischen Kollegen.
Wir haben im lokalen AD das Computerobjekt (AZUREADSSOACC) für den Sync gelöscht und neu angelegt, auch wenn das in meinen Augen Humbug war, da die Tickets ja erfolgreich ausgestellt werden.
Danach wurden erneut Logs gezogen und erneut Screenshots und ein Video angefertigt.

Erneut drehen wir weiter Kreise, denn seine letzte Mail von gestern:
I wanted to share update that I have escalated your case and currently waiting for updates from respective teams. As of now current logs also shows that everything is fine so we have engaged other resources to check again.

Was übrigens mittlerweile läuft, für mich aber keinen Mehrwert hat.
SSO funktioniert auf den Onlineseiten von Microsoft also bspw. https://portal.microsoft.com aber hier ist es wirklich nur SSO und nicht sSSO, also nach Eingabe der Mailadresse/des Benutzernamens muss kein Passwort mehr eingegeben werden.

Grüße
ToWa
EKU32162
EKU32162 01.08.2024 um 10:22:23 Uhr
Goto Top
Danke für dein Update.

Wir generieren gerade eine neue Umgebung mit VMware Horizon Instant Clones + persistenter HDD und Win 11. Problem war bis dato immer das nach einem Update-Rollout der TPM-Chip gelöscht wurde und die Office Anmeldung der lokalen Apps (Word, Outlook etc.) beschädigt wurde.
Nun lief das ganze dank SSO bis zum Snapshot ~März ohne Probleme und ich habe jetzt herausgefunden das dies seit einem Windows Update nicht mehr funktioniert.

Der Rest im Thread erklärt warum. Super eine funktionierende Lösung wegpatchen. Ich hoffe das es bald wieder funktioniert, auch wenn es nur "ein paar Benutzer" laut MS betrifft...
dertowa
dertowa 01.08.2024 um 20:32:22 Uhr
Goto Top
Zitat von @EKU32162:
Ich hoffe das es bald wieder funktioniert, auch wenn es nur "ein paar Benutzer" laut MS betrifft...

Naja ich habe heute Nachmittag noch mal neue Benutzer angelegt (neue Azubis im Anflug).
Tatsächlich scheint der Workaround auch nicht mehr 100%ig zu sein.
Die Office-Programme brauche nun zwei Starts, beim ersten wird nach dem Login gefragt.
Outlook fragt dann trotzdem nach dem Passwort zur Mail-Adresse, zur finalen Kontoeinrichtung.

Das war mal besser, ich muss morgen mal in meine Aufzeichnungen sehen wann ich den letzten Benutzer angelegt habe...

Grüße
ToWa
EKU32162
EKU32162 01.08.2024 um 20:38:53 Uhr
Goto Top
Wir haben gestern zum ersten mal vom Registry Workaround gelesen und können sagen das dieser beim ersten Start super funktionierte und danach dann nicht mehr. Auch mit dem Warndreieck oder Login Abfragen, dies kann man keinen User zumuten.

Ich werde überlegen, ob wir den Usern Win 11 ohne TPM in Horizon verteilen - bis wir eine bessere VDI-Software gefunden haben oder Windows 12 es anders macht.
dertowa
dertowa 01.08.2024 um 22:18:16 Uhr
Goto Top
Zitat von @EKU32162:

Wir haben gestern zum ersten mal vom Registry Workaround gelesen

Ich bin auch der festen Überzeugung, dass Microsoft da momentan einiges "umstellt" und "rumbastelt".
Der Edge zeigte mir heute beim Login mit den neuen Profilen nämlich keinen suspekten SSO-Dialog mehr...

Zieht sich aber in meinen Augen auch schon viel zu lange...

Grüße
ToWa
dertowa
dertowa 05.08.2024 um 14:47:21 Uhr
Goto Top
So, nachdem der Support mir nun erneut mit irgendwelchen Fiddler Logs auf die Nerven geht, welche ich nicht erzeugen kann, da dieses Programm den SSL-Traffic nicht funktionierend aufbricht und wir uns auch ansonsten im Kreis drehen.

Habe ich nun eine VM mit Windows 10 (22H2) und Patchstand von 02/2024 hochgezogen.
Diese Maschine in die Testumgebung für das Problem integriert und mit aktuellem Office und Edge versorgt.
Nun dem Support mal ein Video davon gemacht, wo man erkennen kann, dass das mit dem Patchstand einwandfrei funktioniert.

Es sollte doch für Microsoft möglich sein nachzuvollziehen was sich mit KB5034843 (Preview Ende 02/2024) oder mit KB5035845 (Patch in 03/2024) dahingehend geändert hat...

Grüße
ToWa
NordicWorker
NordicWorker 12.08.2024 um 16:09:06 Uhr
Goto Top
Zitat von @EKU32162:

Wir haben gestern zum ersten mal vom Registry Workaround gelesen und können sagen das dieser beim ersten Start super funktionierte und danach dann nicht mehr. Auch mit dem Warndreieck oder Login Abfragen, dies kann man keinen User zumuten.

Ich werde überlegen, ob wir den Usern Win 11 ohne TPM in Horizon verteilen - bis wir eine bessere VDI-Software gefunden haben oder Windows 12 es anders macht.


Moin Moin!

meine Erfahrungen mit Instant Clones Win10, ohne vTPM, Office x64 und per DEM gesicherten Office Token:
Alle User dürfen sich in regelmäßigem 90-Tages Intervall bei Office anmelden und sind dann wieder lizenziert.
Das ist nicht schön, aber wenigstens ist keine tägliche Anmeldung notwendig.
Der Workaround ändert daran nur, dass man regelmäßig jedes einzelne Produkt aktivieren muss.
Damit leben wir jetzt seit April 2024.
dertowa
Lösung dertowa 16.08.2024 um 14:48:11 Uhr
Goto Top
So, der Support ist durch und ich ein wenig sprachlos, dass das nun Monate gedauert hat.
This is no longer a supported scenario.

Es gibt intern diesen Workaround (kennen wir):
image
Ist aber eben auch nur ein Workaround, es wird für dieses "Problem" keinen Fix mehr geben.

Denn, das sSSO ist ein legacy Feature und wir haben unsere Systeme umzustellen:
EntraID joined oder Hybrid joined: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-c ...
um weiterhin von seamless SSO zu profitieren.

Also alle Geräte in die Cloud?
Grüße
ToWa
anteNope
anteNope 18.09.2024 um 18:48:32 Uhr
Goto Top
dertowa
dertowa 23.09.2024 um 19:46:10 Uhr
Goto Top
Uiuiui, gleich mal an die Testphase gehen.
Bislang habe ich es noch vermieden alle Systeme in Hybrid-joined Systeme zu verhaften.
dertowa
dertowa 24.09.2024 aktualisiert um 13:27:39 Uhr
Goto Top

So, der Test-Client sagt:
  • Hier wurde gar nichts gelöst.
Die Notiz im Changelog des Updates besagt auch nichts wirklich dienliches:
[Microsoft Entra Single Sign-On (SSO)] Der SSO-Hinweis, den der European Digital Markets Act (DMA) verlangt, fordert zu oft auf. Dies tritt auf, wenn Sie sich mit einem Zertifikat authentifizieren.

Zu oft ist ja hier nicht das ursächliche Problem.

P.S.: Wir müllen uns dann also doch den Tenant voll mit Entra registered Geräten, damit nicht überall Anmeldeaufforderungen kommen.

Grüße
ToWa
dertowa
dertowa 26.09.2024 um 11:05:48 Uhr
Goto Top
Ich habe nun mal ein wenig mit der Standardlösung von Microsoft gespielt.
Der Benutzer meldet sich mit seinen Zugangsdaten bei Word an und akzeptiert, dass der Account PC-weit hinterlegt wird und sich somit in Entra registriert.
Nun kommt Nutzer zwei und tut selbiges an dem System.
Damit steht das System doppelt in meiner Geräteliste, gleicher Name, gleicher Verknüpfungstyp "Microsoft Entra registered".

Das ist sowas von keine Lösung.
Also doch mal schauen was das hybrid-joined zu bieten hat. face-sad
anteNope
anteNope 09.10.2024 um 09:33:00 Uhr
Goto Top
So noch etwas Salz von meiner Seite.

War die Tage bei einem Kunden und musste einen bestehenden PC neu aufsetzen. Windows 11 24H2 wurde installiert, in die Domäne aufgenommen, Benutzer angemeldet und BÄM er ist bei EDGE und allen Office-Programmen automatisch angemeldet.

Scheint also wieder zu funktionieren, ggf. aber nur für Neuinstallationen und mit Win11 24H2?