Workplace Join

Auch Mein Desktop hat im Herbst 2024 ein Update auf Windows 24H2 Update durchgeführt aber warum auch immer hatte ich danach kein Windows Enterprise mehr. Diese Seite beschreibt, wie ich den Fehler gefunden, korrigiert und zukünftig für alle Firmenclients verhindern kann. Das sollten Sie auch tun.

Fehlerbild

Nach dem Update durfte ich natürlich erst einmal Windows selbst neu "aktivieren". Das hat aber problemlos geklappt, da eine passende Lizenz von Lenovo schon damals im BIOS hinterlegt wurde. Damit war schon mal Windows 11 Professional aktiv:

Aber mit der Enterprise Aktivierung hat es nicht geklappt. Laut Microsoft kann das schon einige Stunden oder gar Tage dauern. Im Hintergrund laufen dabei nämlich immer mal wieder geplante Tasks, die abhängig von der Registrierung des Benutzers die Lizenz anfordern:

Bei mir war aber mindestens ein Prozess mit einem Fehler "0x87E10BF2" fehlgeschlagen.

Status DSREGCMD

Zu dem Fehler habe ich erst einmal nicht viel gefunden aber einige Hinweise deuten auf die Azure-Registrierung/Workplace-Join hin und von den Seiten AzureAD Join und Device Registration habe ich DSREGCMD übernommen. Hier ein Auszug:

C:\Windows\System32>dsregcmd /status
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : NETATWORK
           Virtual Desktop : NOT SET
               Device Name : FC-T480S.netatwork.de
+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+
...
+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+
                TenantName : Net at Work GmbH
                  TenantId : de21c301-xxxx-xxxx-xxxx-xxxxxxxxxxxx
...
+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+
...
                    NgcSet : YES
           WorkplaceJoined : YES
          WorkAccountCount : 1
+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+
...
                AzureAdPrt : YES
+----------------------------------------------------------------------+
| Work Account 1                                                       |
+----------------------------------------------------------------------+
...
         WorkplaceDeviceId : 679cc616-xxxx-xxxx-xxxx-xxxxxxxxxxxx
       WorkplaceThumbprint : 929E41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
         WorkplaceTenantId : eef62a09-xxxx-xxxx-xxxx-xxxxxxxxxxxx
       WorkplaceTenantName : IT-Dienstleistungen Frank Carius
+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+
...
        AadRecoveryEnabled : NO
    Executing Account Name : NETATWORK\fc, frank.carius@netatwork.de
               KeySignTest : PASSED
 

Wer nun hier genau hinschaut, sieht einmal die Mitgliedschaft des PCs in der Domain "netatwork.de" aber unter "Work Account 1" steht ein anderer Tenant. Schaue ich mir die mir zugewiesenen Geräte auf https://myaccount.microsoft.com/device-list an, dann sehe ich das Gerät nicht.


Net at Work https://myaccount.microsoft.com/device-list (Net at Work)

Stattdessen habe ich das Geräte in meinem "Familien-Tenant" gefunden.


Quelle: https://myaccount.microsoft.com/device-list (carius.de)

Dort hat es natürlich keine Windows Enterprise Lizenz. Wenn ich mir die Konten in der Systemsteuerung anschaue, dann finde ich hier neben dem erwarteten Primären Konto bei Net at Work auch noch ein zweites "Geschäfts- oder Schulkonto".

Das könnte die Ursache sein, dass mein Windows Desktop sich mit dem falschen Benutzer an Entra ID anmeldet und daher die falsche Windows Lizenz bezieht, bzw. eben keine Enterprise Lizenz bekommt..

Bereinigung

Auf der Karteikarte zu "E-Mail und Konten" gibt es keine Möglichkeit, diese Verbindung zu entfernen. Dazu müssen wir etwas Tiefer auf die Einstellungen zu "Auf Arbeits- oder Schulkonto zugreifen". Dort gibt es dann die Option das Konto zu trennen.

Ich habe hier aber keinen Weg gefunden, eine Priorität zu definieren. Anscheinend war vor dem 24H2-Update mein Computer noch im Net at Work-Tenant registriert aber vermutlich durch das Update hat sich eine Reihenfolge verändert. Ich habe dann das Konto entfernt. Die Warnung muss ich bestätigen.

Die Warnung hört sich erst einmal schlimm an aber natürlich kann es sein, dass ich mit dem Gerät dann nicht mehr die Zugriffsrechte habe, die ich von einem "verwalteten Gerät" hätte. Daten gehen aber erst einmal nicht verloren, denn diese liegen ja immer noch in der Cloud vor. Vielleicht kann sich mein OneDrive nicht mehr synchronisieren oder Outlook verliert die Verbindung. Beides ist aber nicht passiert

Aber Microsoft Teams hat nach wenigen Sekunden schon gemeldet, dass es "Probleme mit meinem Konto" gäbe.

Es hat nur wenige Sekunden gedauert, bis Microsoft Teams sich gemeldet hat, dass mein Konto ein Problem hätte. Kaum habe ich mir bei Microsoft Teams angemeldet. bekam ich folgende Meldung präsentiert:

Wenn ich hier einfach "OK" drücke, dann melde ich mich nicht nur in Teams mit dem Konto an, sondern das Konto wird auch der Windows Installation hinzugefügt. Damit würde ich genau das alles wieder rückgängig machen, was ich gerade geändert habe. Hier habe ich folgerichtig dann "Nein, nur bei dieser App anmelden" ausgewählt. Früher oder bei anderen Windows Versionen sah der Dialog noch etwas anders aus;

Windows bietet dem Anwender hier an, dass dieses Geräte auch in dem anderen Tenant registriert und dann teilweise verwaltet werden kann.

Das wollen Sie als Admin ihrer Firma natürlich nicht, dass ihre Geräte in einem anderen Tenant mit verwaltet werden aber der Benutzer kann das hier zulassen, wenn Sie dies nicht umkonfigurieren.

Die Checkbox "Allow my organization to manage my device" ist nämlich in der Voreinstellung aktiviert. Ein Benutzer muss es schon aktiv abschalten, damit der sich "nur an dieser App" anmeldet.

Lizenz erhalten

Danach habe ich dann einfach noch einmal die beiden "geplanten Tasks" von Hand gestartet. Zuerst hatte ich noch einen Fehler "0xD0000272".

Beim zweiten Durchaus ein paar Minuten später kam dann aber ein "0x0".

Mein Windows Client hatte dann auch wieder seine Enterprise Lizenz.

Es hilft übrigens nichts, die Datei $systemroot%/ClipRenew.exe interaktiv in einer CMD-Box auszuführen. Das Programm liefert keinerlei BIldschirmausgaben.

Insights

Mit dem Wissen konnte ich dann natürlich etwas weiter stöbern und mit den Fehler und passenden Begriffen habe ich andere Seiten gefunden, die erste wenige Tage vorher veröffentlich wurden, und das Problem noch etwas weiter beschreiben.

Die Seiten beschreiben auch das Problem, dass durch einen "Workplace Join" es passieren kann, dass der Computer selbst "Mitglied" in einem AzureAD sein kann aber Windows als ersten angemeldeten Benutzer ein Konto aus einem anderen AzureAD nutzt.

Ich habe Hinweise gefunden, dass auch ein Leave/Join-Vorgang das Problem wieder heilen könnte:

dsregcmd /leave
dsregcmd /join

Ein Neustart ist wohl nicht erforderlich und das Gerät bleibt in der Zeit auch weiter in Intune registriert. Allerdings konnte ich das noch nicht nachstellen.

Allerdings gibt es auch zwei Registrierungsschlüssel, die einmal für den Computer und einmal für den Anwender gelten. Die Einstellungen für den Computer Finden Sie hier

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CloudDomainJoin\TenantInfo\<TenantGUID>

Die Einstellungen für den Anwender finden Sie hingegen unter:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin\TenantInfo\<TenantGUID>

Wenn sich hier die GUIDs der Tenants unterscheiden, dann könnte ihr Client das gleiche Problem haben. Bei mir waren sie unterschiedlich.

Rudy Ooms hat das auf seiner Seite https://call4cloud.nl/removing-secondary-work-or-school-accounts/ nicht nur gut beschrieben, sondern auch gleich zwei Skripte für die Analyse und Reparatur bereitgestellt. Das "Detection Script" kann z:B in Intune eingebunden werden, um auf allen verwalteten PCs die Clients zu finden, bei denen es die Unstimmigkeit gibt.

Das Remediation-Skript versucht sich an einer automatischen Korrektur. Sollten die URLs nicht mehr gültig sein, dann schauen Sie bitte auf der Original-Seite (https://call4cloud.nl/removing-secondary-work-or-school-accounts/) nach.

Workplace Join verhindern

Rudy hat ebenfalls beschrieben, wie sie es über eine Richtline verhindern können, dass Anwender auf ihren Firmen-Computern und in Verbindung mit dem Microsoft Teams Client habe ich dies auch auf Teams Device Management schon beschrieben

Q: How can I block users from adding more work accounts (Azure AD registered) on my corporate Windows 10 devices?
A: Enable the following registry to block your users from adding additional work accounts to your corporate domain joined, Azure AD joined, or hybrid Azure AD joined Windows 10 devices. This policy can also be used to block domain joined machines from inadvertently getting Azure AD registered with the same user account.
Quelle: https://docs.microsoft.com/en-us/azure/active-directory/devices/faq#q-how-can-i-block-users-from-adding-additional-work-accounts-azure-ad-registered-on-my-corporate-windows-10-devices 

Dies ist der Schlüssel, den die manuell, per Gruppenrichtlinie oder auch per Intune Setting verteilen können.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin]
"BlockAADWorkplaceJoin"=dword:00000001

Das Thema ist auch in umgekehrter Richtung relevant. Kontrollieren Sie ihr Entra ID doch einmal auf "fremde Clients", z.B. Anwender anderer Firmen, die als Gast in ihren Teams mitarbeiten und bei der Anmeldung nicht aufgepasst haben.

Weitere Links