Debugging beim automatischen Registrieren von Windows-10 Clients in Intune mit Gruppenrichtlinie
Wenn man Windows Clients automatisiert in die Geräteverwaltung Intune mit aufnehmen will gibt es mehrere Wege. Der erfahrungsgemäß, einfachste und schnellste Weg ist hier sicherlich die Lösung mit Gruppenrichtlinien. Dabei werden zwei Gruppenrichtlinien erstellt und auf eine OU-Verknüpft, in der sich alle Clients befinden, die in Intune registriert werden sollen.
Die erste GPO ist für den „Hybrid Azure-AD Join“ notwendig und die zweite registriert das Gerät/die Geräte letztendlich in Intune.
Doch wie überall können auch hier Fehler auftreten. Daher hier ein kleiner Debugging-Artikel, mit dem die Häufigsten Probleme behoben werden können.
Erste Schritte beim Debugging
Die ersten Schritte beim Debuggen der Intune Geräteregistrierung von Windows-10 Geräten via Gruppenrichtlinie sind sozusagen das Ein-Mal-Eins dieses Themengebiets. Die folgenden Punkte sind Dinge, die immer geprüft werden sollten, wenn es Probleme bei der Geräteregistrierung von Windows Geräten geht.
Gruppenrichtlinien
Natürlich sollte klar sein, dass wenn die Gruppenrichtlinie nicht bei dem Zielclient ankommt, dass das Gerät dann auch nicht damit in Intune registriert werden kann. Daher sollte dahingehend überprüft werden, ob:
- Die Gruppenrichtlinie mit einer OU verknüpft ist, in der der Client auch enthalten ist
- Die Gruppenrichtlinie den Client erreicht und angewandt wird
- Beispielsweise über „rsop.msc“
- Der Client nicht durch Sicherheitsfilterung der Gruppenrichtlinie ausgenommen wird
- Der Client nicht in einer OU enthalten ist, in der die Vererbung der GPO’s unterbrochen ist (falls die GPO nicht direkt auf der OU verknüpft ist, in der er selbst enthalten ist)
Lizenz
Was oft vergessen wird ist die benötigte Lizenz. Nur mit der gültigen Lizenz kann der Benutzer Geräte Registrieren. Bzw. nur mit der richtigen Lizenz kann im Namen des Benutzers ein Gerät registriert werden.
Bei einer Lizenzierung mit Microsoft 365 Business Premium müsste beispielsweise folgender Punkt angehakt sein. Sollte dieser Haken nicht gesetzt sein kann die Gruppenrichtlinie den Benutzer nicht verwenden um das Gerät in Intune zu registrieren.
Berechtigte Benutzer
In Intune (Microsoft Endpoint Manager Admin Center) lässt sich ein gewisser User-Scope definieren, der berechtigt ist (sofern eine Lizenz vorhanden ist) Geräte in Intune zu registrieren. Hier (Intune > Geräte > Windows > Windows Registrierung > Automatische Registrierung) sollte entweder „Alle“ eingestellt sein oder – wenn eine gewisse Limitierung gewünscht ist – „Einige“ mit einer definierten Gruppe eingestellt sein. Sollte „Einige“ eingestellt sein sollte man auch die angegebene Gruppe nochmals überprüfen. Sollte der Benutzer hier nicht enthalten sein muss er noch als Mitglied hinzugefügt werden. Erst dann kann er Geräte in Intune registrieren.
An dieser Stelle sollte dann direkt auch überprüft werden, ob die „URL für MDM-Ermittlung“ richtig eingestellt ist. Diese sollte standardmäßig wie folgt lauten:
https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
Windows-10 Geräte in Intune erlaubt?
So absurd das klingen mag, kann man auch in Intune einstellen, ob Windows Geräte sich in Intune registrieren dürfe oder nicht. Daher sollte gerade bei älteren Tenants auch diese Einstellung überprüft werden, da Windows-Geräte standardmäßig erlaubt sind.
Außerdem sollte hier beachtet werden, welche Versionen pro Betriebssystem ggf. vorgegeben werden. Sollte der Client nicht darunter fallen kann er nicht in Intune registriert werden. Dann muss entweder die Richtlinie geändert werden oder der Client geup- oder downgradet werden.
Windows Version
Das Registrieren von Windows-10 Geräten mit einer GPO (Gruppenrichtlinie) funktioniert erst sein Windows 10 1709. Sollte das Windows-Gerät, dass registriert werden soll also eine niedrigere Version installiert haben muss dieses geupgradet werden.
Mit dem Befehl „winver“ kann die Version des Installierten Windows OS herausgefunden werden. Grundlegend sollten ausstehende Windows-Updates installiert werden, wenn es Probleme mit der Intune-Registrierung gibt.
Hybrid Azure-AD Joined
Um Geräte mit einer Gruppenrichtline in Intune registrieren zu können muss das Gerät „Hybrid Azure-AD“ eingebunden sein. Diesen Status kann man mit dem folgenden Befehl überprüfen:
dsregcmd.exe /status
Es folgt eine recht lange Ausgabe, die alle möglichen Informationen über den Gerätestatus enthält. Wesentlich sind dabei zunächst der Punkt unter „Device State“.
Unter „Device State“ sollte neben dem Punkt „AzureADJoined“ „YES“ stehen. Dann ist das Gerät Hybrid Azure-AD eingebunden. Außerdem sollte bei neben „DomainJoined“ logischerweise auch „YES“ stehen. Ansonsten ist das Gerät nicht in einer AD-Domäne und kann die Gruppenrichtlinie nicht empfangen (außer das Gerät wird über die lokale Gruppenrichtlinien registriert).
Diese Information findet sich auch im Azure-AD direkt.
Wenn die Geräte nicht Hybrid Azure-AD bzw. Entra-ID joined sind kann das mit dem AD-Connect/Entra-ID Connect SCP durchgeführt werden oder mit einer Computer-Gruppenrichtlinie.
Wie man den SCP konfiguriert beschreibe ich HIER: Nachträgliches Konfigurieren des Hybrid Azure-AD Join SCP
Tiefergehendes Debugging
Eventlog (Automatische Registrierung)
Das erste was man machen sollte, wenn die ersten Schritte nicht weitergeholfen haben ist das Eventlog zu durchforsten. Hier werden meist mehr Details geloggt, welche zu weiteren Fehlersuche nützlich sein können.
Das erste Log findet sich unter:
Anwendungs- und Dienstprotokollen > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Adminstrator
In diesem Log sollte dann nach der Ereignis-ID „75“ gefiltert werden.
Ereignisse mit der ID „75“ stehen für die erfolgreiche Registrierung des Geräts in Intune.
Wenn diese nicht zu finden ist wurde entweder die Gruppenrichtlinie nicht angewandt oder das Gerät konnte wegen anderen Fehlern nicht in Intune Registriert werden. Beispielsweise, wenn das Gerät bereits registriert ist.
Sollten keine Einträge mit der ID „75“ gefunden werden sollte danach im gleichen Log nach der ID „76“ gefiltert werden. In diesen Einträgen sind die Details zu einer versuchten, aber fehlgeschlagenen Registrierung enthalten. Wenn Einträge mit der ID „76“ vorhanden sind kann schonmal ausgeschlossen werden, dass die Gruppenrichtlinie zur automatischen Registrierung nicht angewandt wird. Ereignisse mit der ID „76“ werden nur geloggt, wenn die Registrierung versucht wurde, aber fehlgeschlagen ist.
Sollten weder Einträge mit der ID „75“ noch mit der ID „76“ vorhanden sein lässt das darauf schließen, dass die Registrierung überhaupt nicht ausgelöst wurde.
Auslösen der automatischen Geräteregistrierung
Wenn man durch die Analyse der vorher beschriebenen Eventlogs herausgefunden hat, dass die automatische Registrierung in Intune überhaupt nicht ausgelöst wurde kann man das manuell über die Aufgabenplanung des betroffenen Clients tun.
Dazu in der Aufgabenplanung in folgendes Verzeichnis navigieren und die schnellste, der drei Optionen ausführen.
Microsoft -> Windows -> EnterpriseMgmt
In diesem Bild wird die Option „Schedule #1 …“ beispielsweise alle drei Minuten für die nächsten 15 Minuten nach der Auslösung des Tasks ausgeführt.
Eventlog (Taskscheduler/Aufgabenplanung)
Da die Geräteregistrierung in Intune durch einen Task in der Windows Aufgabenplanung ausgelöst wird sollte auch überprüft werden ob im Eventlog etwas diesbezüglich zu finden ist.
Anwendungs- und Dienstprotokolle > Microsoft > Windows > Task Scheduler > Betriebsbereit
Hier sollte man zunächst nach der ID „107“ filtern. Diese gibt an, ob der Task zur Registrierung des Clients beim MDM-Server erfolgreich gestartet wurde.
Log-Einträge mit der ID „102“ beschreiben, dass der Task erfolgreich abgeschlossen wurde. Dies gibt allerdings nicht an, ob die Registrierung erfolgreich war oder nicht.
Windows Registry
Der letzte Punkt, der geprüft werden sollte, wen zuvor nichts geholfen hat ist die Windows Registry. Es gibt einen Registry Schlüssel, in den die MDM-Informationen des Geräts geschrieben werden, wenn es in einem Mobile Device Management registriert wird. Ich hatte persönlich bereits wenige Fälle, in denen Geräte über die folgenden Schlüssel verfügt haben, obwohl sie noch nie zuvor durch ein MDM Verwaltet wurden.
Der angesprochene Schlüssel befindet sich hier:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\
Unter „Enrollments\“ sollten nun mehrere kryptisch benannte Schlüssel vorhanden sein. Diese sollten nun alle überprüft werden. Alle Schlüssel sollten mit circa 2-4 Werten gefüllt sein. Sollte einer der Schlüssel über sehr viele werte enthalten (Wie in folgendem Bild) kann der Client nicht in Intune registriert werden.
Der gesamte Schlüssel mit allen Werten sollte dann entfernt werden und der Task in der Windows-Aufgabenplanung zum automatischen Registrieren des Windows-10 Geräts erneut ausgeführt werden. Um Sicher zu gehen kann der Schlüssel mit all seinen Werten vorher natürlich exportiert werden um ihn im Zweifel nochmal importieren zu können.
Diese Registry Einträge können zu dem das Problem sein, wenn die Gruppenrichtlinie zur Registrierung in Intune nicht angewendet werden kann und folgenden Fehler bei einem „gpupdate“ in der CMD ausgibt:
