Teams Device Management

Bei der Nutzung von Microsoft 365 Diensten und Programmen bekommen Anwender manchmal die Rückfrage, dass ihr Gerät "verwaltet" werden soll. Das ist insbesondere dann irritierend, wenn sich der Anwender auf seinem privaten Computer anmeldet oder als Gast in einen anderen Tenant wechselt. Normalerweise werden ja nur Firmen-Computer durch die Firma selbst verwaltet. Was steckt hier dahinter und wie sollte ein Anwender damit umgehen?

Die Meldung

Wenn Sie sich auf einem Gerät ihrer Firma und einem Benutzer in ihrer Firma z.B. an Teams anmelden, bekommen Sie in der Regel keine Rückfrage. Wenn Sie aber auf einem fremden Gerät oder mit einem fremden Anwender arbeiten, kann könnten Sie folgende Rückfrage sehen.x

Ursache ist die Verbindung von Konten auf dem Client. Sie können unter Windows nicht nur einen PC in die Domäne aufnehmen, sondern auch ihre persönliche Identität auf dem Computer mit hinterlegen. Unter den "Konten" in der Windows Systemsteuerung finden Sie bei mir z.B. folgendes Bild:

Hier ist sowohl die Verbindung von Windows Mail aber auch die anderen Apps mit verschiedenen Office 365 Konten zu sehen.

Mögliche Antworten

Bezogen auf die erste Rückfrage hat ein Anwender nun nicht nur eine, sondern gleich mehrere Antwortmöglichkeiten:

  • OK drücken
    Der blaue Button ist ja prominent sichtbar. In dem Fall wird das Gerät im AzureAD registriert und ggfls. vorhandenen MDM und MAM-Richtlinien unterworfen.
  • Checkbox entfernen und OK drücken
    Das Gerät wird nicht im AzureAD registriert, aber die Anmeldedaten werden auf dem lokalen Gerät in ihrem "Kennwortspeicher" hinterlegt, damit sie zukünftig mit diesen Anmeldedaten Teams und andere Apps nutzen können
  • Anklicken von "Nein nur bei dieser App Anmelden"
    Der Anwender meldet sich dann nur bei der App an, d.h. das Gerät wird nicht im AzureAD registriert und ihr Konto wird auch nicht im Windows Profil für die Verwendung mit anderen Apps hinterlegt.
  • Dialog mit "X" schließen.
    Sie können das Fenster auch einfach schließen. Die Benachrichtigung verschwindet aber sonst passiert nichts.

Besonders "gelungen" ist der Dialog nicht, denn ein normaler Anwender weiß eigentlich gar nicht, was er hier machen soll. Vermutlich drücken die Anwender einfach auf OK oder wenn Sie etwas skeptisch sind, dann entfernen Sie vorher die Checkbox.

Dialog verhindern

Als Administrator können Sie aber die Abfrage vor dem Anwender verbergen. Warum sollte ein Firmengerät sich an eine anderen AzureAD registrieren und im schlimmsten Fall von dort sogar "gemanaged" werden. Vielleicht sollten Sie ja gerade nicht, dass ein Anwender auf deinem Firmengerät auch noch ein anderes AzureAD/Office 365 Konto einsetzt und damit Daten in einem von ihnen nicht verwalteten Bereich ablegen kann.

Die Lösung erfolgt hier über die Einstellung, dass Anwender eben keine zusätzlichen geschäftliche Konten auf einem Windows 10 Firmencomputer addieren können

Q: How can I block users from adding more work accounts (Azure AD registered) on my corporate Windows 10 devices?
A: Enable the following registry to block your users from adding additional work accounts to your corporate domain joined, Azure AD joined, or hybrid Azure AD joined Windows 10 devices. This policy can also be used to block domain joined machines from inadvertently getting Azure AD registered with the same user account.
Quelle: n https://docs.microsoft.com/en-us/azure/active-directory/devices/faq#q-how-can-i-block-users-from-adding-additional-work-accounts-azure-ad-registered-on-my-corporate-windows-10-devices 

Die effektive Einstellung finden Sie in den Richtlinien an folgender Stelle:

Windows Registry Editor Version 5.00

[HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin]
"BlockAADWorkplaceJoin”=dword:00000001

Die Einstellungen können Sie, wie gewohnt, über Gruppenrichtlinien vornehmen.

Allerdings habe ich noch keine Templates gefunden, in denen die Einstellung enthalten ist. auch die aktuellsten Windows 10 Richtlinien von Mail 2021 enthalten die Einstellung nicht.

Nur für das Feld "autoWorkplaceJoin" gibt es eine Richtinie "workplacejoin.admx".

Allerdings sollte Sie die Finger von dem Eintrag "autoWorkplaceJoin" lassen. Wir der auf "0" gesetzt, dann registriert sich der Computer auch nicht mehr in ihrem eigenen Tenant.

Administrative Templates (.admx) for Windows 10 May 2021 Update (21H1)
https://www.microsoft.com/en-us/download/confirmation.aspx?id=103124

Wer keine Domäne mehr hat, kann natürlich auch z:B. eine REG-Datei importieren oder ein PowerShell-Skript starten lassen, z.B. durch Intune:

# Setze Policy um 3rd Party Join zu unterbinden
$RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin\"
$Regkey = "BlockAADWorkplaceJoin"

# Schluessel anlegen
New-Item 
   -path $RegistryLocation `
   -force `
| Out-Null

# Wert eintragen
New-ItemProperty `
   -Path $RegPath `
   -Name $Regkey `
   -PropertyType DWord `
   -Value 1 `
   -Force `
| Out-Null

Weitere Links