Registrierte Intune-Geräte haben gelegentlich mit Vertrauensproblemen zu kämpfen, die unter anderem durch Probleme mit MDM- oder Microsoft Azure-Zertifikaten verursacht werden. Das Zurücksetzen und erneute Registrieren ist zwar eine gängige Lösung und für reguläre Geräte unkompliziert, da dank Diensten wie OneDrive nur minimaler Datenverlust entsteht. Bei spezialisierten Außendienstgeräten ist dieser Prozess jedoch komplexer, insbesondere bei Geräten mit benutzerdefinierten Konfigurationen und herstellerseitig installierter Software, vor allem wenn der Hersteller nicht mehr existiert. In solchen Fällen sind kreative Strategien unerlässlich. Dieser Blogbeitrag befasst sich mit einem experimentellen Ansatz, um solche Geräte nahtlos wieder unter Verwaltung zu bringen.
Inhaltsverzeichnis
Wichtiger Hinweis vor dem Start
Dieser Prozess ist experimentell und sollte nicht als Standard betrachtet werden. Es gibt keine Garantie, dass er immer funktioniert, und er liegt außerhalb des Supports.
Geltungsbereich
Dieses Verfahren wurde entwickelt, um verschiedene Probleme im Zusammenhang mit MDM- und Microsoft Azure-Zertifikaten zu beheben, die sich andernfalls nur schwer beheben lassen. Zu diesen Problemen gehören unter anderem:
- Fehlende oder beschädigte MS-Organization-Access-Zertifikate.
- Fehlende oder beschädigte PK-Schlüsseldateien.
- Anhaltende, ungewöhnliche Authentifizierungsfehler in IME, winget oder MSStore, die auf herkömmliche Methoden zur Fehlerbehebung nicht reagieren.
Die Methode nutzt eine undokumentierte Abkürzung im CEH über einen Funktionsaufruf in dsreg.dll. Dieser Ansatz unterscheidet sich je nach Systemzustand in Benutzererfahrung und Ergebnissen. Es handelt sich um eine vereinfachte Anpassung des ursprünglichen manuellen Prozesses zur erneuten Geräteintegration, die ähnliche Risiken wie die zuvor sehr risikoreiche Methode birgt. Sie gilt zudem als Option der „letzten Wahl”.
Eine wesentliche Neuerung in diesem Prozess ist die vereinfachte Ausführung, die insbesondere beim Remotezugriff auf Geräte im Außeneinsatz von Vorteil ist.
Voraussetzungen
Die Voraussetzungen für diesen Prozess sind:
- Physischer oder Remote-Zugriff auf das Gerät
- Zugriff auf ein Konto mit lokalen Administratorrechten
- Importierter Geräte-Hash
- Benutzer mit Anmeldedaten einschließlich 2. Faktor
Konzept
Dieser Prozess ermöglicht eine clientseitig ausgelöste erneute Registrierung, ohne eine aktive Entra ID-Benutzersitzung zu unterbrechen. Dabei wird das vorhandene MDM-Profil selbst entfernt und die Intune-Identität des Geräts neu erstellt, zusammen mit der erneuten Registrierung aller relevanten Zertifikate (MDM, MSOrga).
Relevante Bereiche: Achte in den folgenden Bereichen auf Anzeichen für inkonsistente Zustände:
- Konten > Auf Arbeits- oder Schulkonto zugreifen
- Konten > Auf Arbeits- oder Schulkonto zugreifen > Info > Gerätesynchronisierungsstatus
- Windows-Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\{EnrollmentID}undHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CloudDomainJoin
- Ausgabe von
Dsregcmd.exe /status
- Zertifikat-Manager (
Certlm.msc)
- Ereignisprotokolle von Entra ID und User Device Registration
Prozess
- Führe START+R aus und gib „
ms-cxh://NTH/AADRECOVERY” ein oder starte PowerShell und führe „start-process ms-cxh://NTH/AADRECOVERY” im Microsoft Entra ID-Benutzerkontext aus
- Es folgt eine Fensterversion des CEH. Hier musst du deine Anmeldedaten analog zur WHfB-Registrierung eingeben.
- Nun erscheint das Ladefenster, das anzeigt, dass dein Gerät eingerichtet wird
Wenn du keine lokalen Administratorrechte hast, kann es sein, dass in der Taskleiste eine UAC-Eingabeaufforderung erscheint
- Schließlich ist die erneute Registrierung abgeschlossen. Du erhältst das Fenster zum Einrichten/Ändern von WHfB. Klicke auf Fertig stellen.
Während der Tests war es nie notwendig, WHfB erneut zu registrieren. Je nach Profilzustand und NGC-Container vor der erneuten Registrierung kann dies jedoch erforderlich werden. Meine Empfehlung wäre, WHfB NICHT über diesen Bildschirm zu registrieren. Stattdessen sollte die WHfB-Registrierung nach dem Neustart durch den Benutzer erfolgen, sofern er über die Richtlinienauswertung dazu aufgefordert wird.
Nachfolgende Schritte
Die EnrollmentID hat sich nun geändert.
| Alt | Neu |
 |  |
Wir müssen verhindern, dass der Benutzer nach dem Neustart in das ESP des Autopilot-Benutzerflows gelangt. Dazu müssen wir zum Schlüssel FirstSync unter der EnrollmentID wechseln.
und den Wert SkipUserStatusPage von 0 auf 8 ändern.
Validierung
Wenn wir nun das MDM-Zertifikat prüfen, sehen wir, dass das Gültig-bis-Datum dem aktuellen Zeitstempel entspricht und sich auch die Seriennummer geändert hat.
Alt
Neu
Danach wird empfohlen, das Gerät neu zu starten. Es kann bis zu 30 Minuten dauern, bis das Gerät wieder in einen konformen Zustand zurückkehrt.
[…] Reenrol devices without wipe […]
[…] Reenroll devices without wipe – Modern Device Management […]
Would this process work on Hybrid joined devices as well or only Entra joined?