Manchmal kann sich ein Client in einem inkonsistenten Registrierungsstatus in Azure AD befinden. Das kann mehrere Gründe haben unteranderem folgende:
- Der Rechner wurde über einen längeren Zeitraum abgeschaltet und das Azure AD-Geräteregistrierungszertifikat ist abgelaufen (zu finden unter Lokaler Rechner / Zertifikate / Persönlich)
- Jemand hat das Geräteregistrierungszertifikat manuell gelöscht
- Jemand hat das Geräteobjekt im Azure AD-Portal manuell gelöscht
- Die Maschine ist in einem anderen Azure AD-Tenant registriert
Aufgefallen ist das weil die gerätebasierende Conditional Access Policy auf dem Gerät nicht mehr funktioniert hat und der Benutzer aufgefordert wurde sich via MFA zu authentifizieren.
Schritt 1: Geräte Registrierung von Azure AD aufheben
Dazu auf dem Client ein Kommandozeile als Administrator öffnen und folgenden Befehl eingeben:
dsregcmd /leave
Dann bitte überprüfen ob im Zertifikatsspeicher des Clients die Zertifikate ausgestellt von „MS-Organization-Access“ und „MS-Organization-PSP-Access [XXXX]“ gelöscht sind. Wenn nicht löschen:
Dann mittels dsregcmd /status in der Kommandozeile überprüfen ob folgende Werte angegeben sind.
Schritt 2: Neu Registrieren
Auf dem Gerät die „Aufgabenplanung“ als Administrator öffnen:
Unter Aufgabenplanungsbibliothek –> Microsoft –> Windows –>e den Task Automatic-Device-Join ausführen
Dann im Zertifikatsspeicher überprüfen ob die beiden Zertifikate von „MS-Organization-Access“ und „MS-Organization-P2P [XXXX]“ wieder erstellt wurden.
Dann in der Kommandozeile mittels Befehl dsregcmd /status die Werte überprüfen. Es sollte nun bei AzureAdJoined wieder ein YES stehen.
Danach den Client neu starten und eine Azure AD Connect Delta Synchronisation an starten.