Workplace Join
Auch Mein Desktop hat im Herbst 2024 ein Update auf Windows 24H2 Update durchgeführt aber warum auch immer hatte ich danach kein Windows Enterprise mehr. Diese Seite beschreibt, wie ich den Fehler gefunden, korrigiert und zukünftig für alle Firmenclients verhindern kann. Das sollten Sie auch tun.
Fehlerbild
Nach dem Update durfte ich natürlich erst einmal Windows selbst neu "aktivieren". Das hat aber problemlos geklappt, da eine passende Lizenz von Lenovo schon damals im BIOS hinterlegt wurde. Damit war schon mal Windows 11 Professional aktiv:
Aber mit der Enterprise Aktivierung hat es nicht geklappt. Laut Microsoft kann das schon einige Stunden oder gar Tage dauern. Im Hintergrund laufen dabei nämlich immer mal wieder geplante Tasks, die abhängig von der Registrierung des Benutzers die Lizenz anfordern:
Bei mir war aber mindestens ein Prozess mit einem Fehler "0x87E10BF2" fehlgeschlagen.
Status DSREGCMD
Zu dem Fehler habe ich erst einmal nicht viel gefunden aber einige Hinweise deuten auf die Azure-Registrierung/Workplace-Join hin und von den Seiten AzureAD Join und Device Registration habe ich DSREGCMD übernommen. Hier ein Auszug:
C:\Windows\System32>dsregcmd /status +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : NETATWORK Virtual Desktop : NOT SET Device Name : FC-T480S.netatwork.de +----------------------------------------------------------------------+ | Device Details | +----------------------------------------------------------------------+ ... +----------------------------------------------------------------------+ | Tenant Details | +----------------------------------------------------------------------+ TenantName : Net at Work GmbH TenantId : de21c301-xxxx-xxxx-xxxx-xxxxxxxxxxxx ... +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ ... NgcSet : YES WorkplaceJoined : YES WorkAccountCount : 1 +----------------------------------------------------------------------+ | SSO State | +----------------------------------------------------------------------+ ... AzureAdPrt : YES +----------------------------------------------------------------------+ | Work Account 1 | +----------------------------------------------------------------------+ ... WorkplaceDeviceId : 679cc616-xxxx-xxxx-xxxx-xxxxxxxxxxxx WorkplaceThumbprint : 929E41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx WorkplaceTenantId : eef62a09-xxxx-xxxx-xxxx-xxxxxxxxxxxx WorkplaceTenantName : IT-Dienstleistungen Frank Carius +----------------------------------------------------------------------+ | Diagnostic Data | +----------------------------------------------------------------------+ ... AadRecoveryEnabled : NO Executing Account Name : NETATWORK\fc, frank.carius@netatwork.de KeySignTest : PASSED
Wer nun hier genau hinschaut, sieht einmal die Mitgliedschaft des PCs in der Domain "netatwork.de" aber unter "Work Account 1" steht ein anderer Tenant. Schaue ich mir die mir zugewiesenen Geräte auf https://myaccount.microsoft.com/device-list an, dann sehe ich das Gerät nicht.
Net at Work
https://myaccount.microsoft.com/device-list (Net at
Work)
Stattdessen habe ich das Geräte in meinem "Familien-Tenant" gefunden.
Quelle:
https://myaccount.microsoft.com/device-list (carius.de)
Dort hat es natürlich keine Windows Enterprise Lizenz. Wenn ich mir die Konten in der Systemsteuerung anschaue, dann finde ich hier neben dem erwarteten Primären Konto bei Net at Work auch noch ein zweites "Geschäfts- oder Schulkonto".
Das könnte die Ursache sein, dass mein Windows Desktop sich mit dem falschen Benutzer an Entra ID anmeldet und daher die falsche Windows Lizenz bezieht, bzw. eben keine Enterprise Lizenz bekommt..
Bereinigung
Auf der Karteikarte zu "E-Mail und Konten" gibt es keine Möglichkeit, diese Verbindung zu entfernen. Dazu müssen wir etwas Tiefer auf die Einstellungen zu "Auf Arbeits- oder Schulkonto zugreifen". Dort gibt es dann die Option das Konto zu trennen.
Ich habe hier aber keinen Weg gefunden, eine Priorität zu definieren. Anscheinend war vor dem 24H2-Update mein Computer noch im Net at Work-Tenant registriert aber vermutlich durch das Update hat sich eine Reihenfolge verändert. Ich habe dann das Konto entfernt. Die Warnung muss ich bestätigen.
Die Warnung hört sich erst einmal schlimm an aber natürlich kann es sein, dass ich mit dem Gerät dann nicht mehr die Zugriffsrechte habe, die ich von einem "verwalteten Gerät" hätte. Daten gehen aber erst einmal nicht verloren, denn diese liegen ja immer noch in der Cloud vor. Vielleicht kann sich mein OneDrive nicht mehr synchronisieren oder Outlook verliert die Verbindung. Beides ist aber nicht passiert
Aber Microsoft Teams hat nach wenigen Sekunden schon gemeldet, dass es "Probleme mit meinem Konto" gäbe.
Es hat nur wenige Sekunden gedauert, bis Microsoft Teams sich gemeldet hat, dass mein Konto ein Problem hätte. Kaum habe ich mir bei Microsoft Teams angemeldet. bekam ich folgende Meldung präsentiert:
Wenn ich hier einfach "OK" drücke, dann melde ich mich nicht nur in Teams mit dem Konto an, sondern das Konto wird auch der Windows Installation hinzugefügt. Damit würde ich genau das alles wieder rückgängig machen, was ich gerade geändert habe. Hier habe ich folgerichtig dann "Nein, nur bei dieser App anmelden" ausgewählt. Früher oder bei anderen Windows Versionen sah der Dialog noch etwas anders aus;
Windows bietet dem Anwender hier an, dass dieses Geräte auch in dem anderen Tenant registriert und dann teilweise verwaltet werden kann.
Das wollen Sie als Admin ihrer Firma natürlich nicht, dass ihre Geräte in einem anderen Tenant mit verwaltet werden aber der Benutzer kann das hier zulassen, wenn Sie dies nicht umkonfigurieren.
Die Checkbox "Allow my organization to manage my device" ist nämlich in der Voreinstellung aktiviert. Ein Benutzer muss es schon aktiv abschalten, damit der sich "nur an dieser App" anmeldet.
Lizenz erhalten
Danach habe ich dann einfach noch einmal die beiden "geplanten Tasks" von Hand gestartet. Zuerst hatte ich noch einen Fehler "0xD0000272".
Beim zweiten Durchaus ein paar Minuten später kam dann aber ein "0x0".
Mein Windows Client hatte dann auch wieder seine Enterprise Lizenz.
Es hilft übrigens nichts, die Datei $systemroot%/ClipRenew.exe interaktiv in einer CMD-Box auszuführen. Das Programm liefert keinerlei BIldschirmausgaben.
Insights
Mit dem Wissen konnte ich dann natürlich etwas weiter stöbern und mit den Fehler und passenden Begriffen habe ich andere Seiten gefunden, die erste wenige Tage vorher veröffentlich wurden, und das Problem noch etwas weiter beschreiben.
- Fix Subscription Activation by
automatically Removing Secondary Work or
School Accounts.
https://call4cloud.nl/removing-secondary-work-or-school-accounts/ - Windows 10/11 Azure AD/Intune Enterprise
subscription is not valid
https://4sysops.com/archives/windows-1011-azure-adintune-enterprise-subscription-is-not-valid/
Die Seiten beschreiben auch das Problem, dass durch einen "Workplace Join" es passieren kann, dass der Computer selbst "Mitglied" in einem AzureAD sein kann aber Windows als ersten angemeldeten Benutzer ein Konto aus einem anderen AzureAD nutzt.
Ich habe Hinweise gefunden, dass auch ein Leave/Join-Vorgang das Problem wieder heilen könnte:
dsregcmd /leave dsregcmd /join
Ein Neustart ist wohl nicht erforderlich und das Gerät bleibt in der Zeit auch weiter in Intune registriert. Allerdings konnte ich das noch nicht nachstellen.
- AzureAD Join
- Device Registration
- Problembehandlung bei Geräten über den
Befehl „dsregcmd“
https://learn.microsoft.com/de-de/entra/identity/devices/troubleshoot-device-dsregcmd
Allerdings gibt es auch zwei Registrierungsschlüssel, die einmal für den Computer und einmal für den Anwender gelten. Die Einstellungen für den Computer Finden Sie hier
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CloudDomainJoin\TenantInfo\<TenantGUID>
Die Einstellungen für den Anwender finden Sie hingegen unter:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin\TenantInfo\<TenantGUID>
Wenn sich hier die GUIDs der Tenants unterscheiden, dann könnte ihr Client das gleiche Problem haben. Bei mir waren sie unterschiedlich.
Rudy Ooms hat das auf seiner Seite https://call4cloud.nl/removing-secondary-work-or-school-accounts/ nicht nur gut beschrieben, sondern auch gleich zwei Skripte für die Analyse und Reparatur bereitgestellt. Das "Detection Script" kann z:B in Intune eingebunden werden, um auf allen verwalteten PCs die Clients zu finden, bei denen es die Unstimmigkeit gibt.
- Detection Script
https://call4cloud.nl/wp-content/uploads/2024/11/detect-1.txt - Remediation-Script
https://call4cloud.nl/wp-content/uploads/2024/11/remediate-2.txt
Das Remediation-Skript versucht sich an einer automatischen Korrektur. Sollten die URLs nicht mehr gültig sein, dann schauen Sie bitte auf der Original-Seite (https://call4cloud.nl/removing-secondary-work-or-school-accounts/) nach.
Workplace Join verhindern
Rudy hat ebenfalls beschrieben, wie sie es über eine Richtline verhindern können, dass Anwender auf ihren Firmen-Computern und in Verbindung mit dem Microsoft Teams Client habe ich dies auch auf Teams Device Management schon beschrieben
Q: How can I block users from adding more work accounts
(Azure AD registered) on my corporate Windows 10 devices?
A: Enable the following registry to block your users from adding additional work
accounts to your corporate domain joined, Azure AD joined, or hybrid Azure AD
joined Windows 10 devices. This policy can also be used to block domain joined
machines from inadvertently getting Azure AD registered with the same user
account.
Quelle:
https://docs.microsoft.com/en-us/azure/active-directory/devices/faq#q-how-can-i-block-users-from-adding-additional-work-accounts-azure-ad-registered-on-my-corporate-windows-10-devices
Dies ist der Schlüssel, den die manuell, per Gruppenrichtlinie oder auch per Intune Setting verteilen können.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin] "BlockAADWorkplaceJoin"=dword:00000001
Das Thema ist auch in umgekehrter Richtung relevant. Kontrollieren Sie ihr Entra ID doch einmal auf "fremde Clients", z.B. Anwender anderer Firmen, die als Gast in ihren Teams mitarbeiten und bei der Anmeldung nicht aufgepasst haben.
- Teams Device Management
- How do I stop on-premise domain users
from joining azure on workstations?
https://learn.microsoft.com/en-us/answers/questions/1184732/how-do-i-stop-on-premise-domain-users-from-joining - Automatisches Registrieren eines
Windows-Geräts mithilfe einer
Gruppenrichtlinie
https://learn.microsoft.com/de-de/windows/client-management/enroll-a-windows-10-device-automatically-using-group-policy
Weitere Links
- AzureAD Join
- Device Registration
- Teams Device Management
- Problembehandlung bei Geräten über den
Befehl „dsregcmd“
https://learn.microsoft.com/de-de/entra/identity/devices/troubleshoot-device-dsregcmd - Windows 10/11 Azure AD/Intune Enterprise
subscription is not valid
https://4sysops.com/archives/windows-1011-azure-adintune-enterprise-subscription-is-not-valid/ - Using the Windows Activation
troubleshooter
https://support.microsoft.com/en-us/windows/using-the-windows-activation-troubleshooter-d717cdff-cf19-9770-7198-40119c2a696c - Fix Subscription Activation by
automatically Removing Secondary Work or
School Accounts.
https://call4cloud.nl/removing-secondary-work-or-school-accounts/