[English]Es ist eine skurrile Geschichte, die mir kürzlich unterkommen ist, wobei das Verhalten möglicherweise vielen Administratoren bekannt ist. Ein Administrator hatte einen Gebraucht-Rechner erstanden und diesen dann mit Windows 10 neu aufgesetzt. Aber bereits während der Neuinstallation forderte das Gerät den Benutzer zur Anmeldung bei Azure auf, wobei hier ein Konto der Klarna Bank AB vorgegeben wurde. Am Ende des Tages gab es eine (zumindest für mich) verblüffende Auflösung.
Anzeige
Neues Windows 10 will Azure-Anmeldung
Der Sachverhalt ist mir durch Zufall im Februar 2023 bei den Kollegen von administrator.de unter die Augen gekommen und ich hab mir den Fall unter "musst Du mal drüber bloggen" aufgehoben. Der Betroffene hat das Problem folgendermaßen geschildert.
Windows 10 verlangt Anmeldung bei Azure nach Neuinstallation
Moin Moin,
ich habe hier ein gebrauchten Intel NUC der ein merkwürdiges Verhalten zeigt.
Ich wollte diesen mit Windows 10 neu installieren, doch nach der Installation fordert er zur Eingabe einer Anmeldung für Klarna Bank AB Azure auf.
Also mal eigenen Produkt Key eingegeben, gleiches Spiel, dann ne andere SSD rein, gleiches Spiel. BIOS zurückgesetzt ebenso die Aufforderung nach Installation.
Ich kann auch keine Installation ohne Netzwerk durchführen. Hat jemand eine Idee welche Funktion das verursachen kann?
An dieser Stelle war ich doch etwas perplex – der Hinweis auf die Klarna Bank AB zeigt, dass da irgend etwas bei dieser Maschine vom Vorbesitzer, der Klarna Bank AB, zurückgeblieben sein muss. Im Installationsabbild kann es nicht sein, da der Betroffene da ein eigenes ISO-Abbild verwendete. Mir fiel zwar der Beitrag Backdoor 'Windows Platform Binary Table' (WPBT) aus 2015 ein – aber das ist i.d.R. OEM-bezogen und schien mir unwahrscheinlich.
Die OOBE-Prüfung und Intune sind Schuld
Ein Administrator konnte dann dem Betroffenen mit einer Erklärung für dieses Verhalten weiterhelfen. Der obige Effekt tritt auf, seit Microsoft bei Windows 10/11 während des Setups in der OOBE-Phase weitere Online-Prüfungen vornimmt. Dazu schrieb der Nutzer Cloudrakete folgendes:
Der Client als solches ist sauber.
Windows 10 / 11 ab der Pro Variante führen allerdings immer (egal wo gekauft) eine OOBE (out of the box experience aus)
Ist der Client bei der Installation mit dem Internet verbunden, wird geprüft, ob jemand zuvor dessen HW-IDs ausgelesen hat und diese ggf. in seinem Intune hinterlegt hat.Diese IDs sind gerätespezifisch und ändern sich nicht mit einer Windows Neuinstallation. Scheinbar hat der Klarna Bank Admin vergessen, die HW-ID aus seinem Intune zu löschen und die OOBE, welche jeden Tenant der Welt abgrast und nach seiner ID sucht, wurde entsprechend fündig.
Wenn du gültige Zugangsdaten hättest, und dieser User auch entsprechende Zuweisungen erhalten hat, würde die OOBE das Intune Onboarding via Autopilot starten und zugewiesene Policys und Software auf das Gerät ausrollen.
Wenn Du nett sein möchtest, kannst du ja Kontakt zur Klarna Bank aufnehmen und das Gerät aus derem Intune entfernen lassen.
Dazu brauchst Du natürlich die HW ID: Manually register devices with Windows Autopilot
War dieser Zusammenhang euch allgemein bekannt? Ist zwar irgendwie logisch, aber ich habe das Gefühl, dass dieses Windows Eco-System immer komplexer wird und die Administratoren zunehmend die Kontrolle verlieren, wo was gespeichert ist.
Anzeige
Ergänzung: Über Facebook ist mit von Andreas E. eine interessante Erklärung zugegangen, die ich einfach hier einstelle.
Ist normal, wenn der Refurbisher das UEFI nicht korrekt zurücksetzt (offline, verweigert die Erstellung eines lokalen Kontos), oder vergisst das Gerät aus dem Autopiloten zu löschen (online, angepasste OOBE).
Die Idee ist, dass die User die so ein Gerät zuhause unbeaufsichtigt in Betrieb nehmen nicht aus versehen ein lokales Konto anlegen sondern „gezwungen" werden durch den Autopilot Prozess zu gehen.
Der Autopilot Prozess grast aber nicht jedes Intune ab, Autopilot ist ein eigener Dienst der zu Windows Pro gehört. Ist das Gerät im Autopilot registriert lädt es die dem Gerät zuwiesene JSON Datei herunter welche die OOBE anpasset und den Enrollment Prozess nach Azure und Intune oder einem anderen MDM lostritt.
Manchmal kann es passieren dass das Gerät lokal (bestimmter Pfad) so eine JSON Datei rumliegen hat. Findet Windows die Datei da überspringt es die online Suche und Autopilot startet obwohl das Gerät gar nicht registriert ist. In dem Fall muss man die Datei manuell löschen oder Windows neu installieren.
Andreas vermutet, dass Microsoft sich da was überlegen könnte, da viele Refurbisher hier leider unbelehrbar seien. Doof für Dienstleister, die hier in ihre Prozesse investiert haben, um so etwas zu vermeiden.
Einige Informationen finden sich bei Microsoft in den Artikeln Automatic Intune enrollment via Azure AD join und Demonstrate Autopilot deployment.
Anzeige
Super interessant
Für mich als Administrator, der immer mehr Geräte für backoffice und reisende Kollegen:in bereit stellt, ist diese Funktionalität was wunderbares.
Denn wird ein Gerät gestohlen, so wird es unbrauchbar für den Dieb. Vielleicht ist man sogar in der Lage herausfinden wo sich das Gerät befindet.
Ist da nicht der "Wunsch Vater des Gedankens"? Wenn der "Dieb" das Gerät ohne Internet in Betrieb nimmt, bekommt die OOBE-Phase keine Chance, da was zu machen. Das System lässt sich dann mit einem lokalen Konto einrichten. Ein wenig Hardware verändert, schon stimmt die digitale Identität nicht mehr – und die Prüfung dürfte auch scheitern.
Könnte wie bei Apple nach hinten los gehen: Da bekommen selbst legitime Besitzer Probleme, wenn die Apple ID vom zugeordneten Gerät nicht entfernt wird (was Kritik hervor ruft). Genau so wird es bei (refurbished) Windows-Geräten passieren – und ein Linux drauf installiert, schon ist die schöne Diebstahlsicherung für Arme pulverisisert.
Das hat nichts mit "Hardware verändern" zu tun, sondern mit einem im UEFI-BIOS hinterlegten Installationsschlüssel. Das ist lustig, auf die Weise kann der Admin, der das Ding noch in seinem Tenant oder der Besitzer der es noch im MS-Konto hat, verfolgen und vielleicht sogar fernlöschen, vielleicht sogar immer wieder… Mir wurde mal ein privates Win-10-Notebook mit MS-Konto geklaut, das hat sich dann Wochen später aus einem Vorort von Belgrad gemeldet und ich habe dann eine Nachricht auf den Anmeldeschirm geschrieben, dass es geklaut ist und eine Fernlöschung gestartet. Der erfolgreiche Abschluss der Löschung wurde dann auch ein paar Stunden nach Start per Email bestätigt. Während der Fernlöschung konnte man das Notebook weder sauber runterfahren noch sich anmelden.
naja bei nem geklauten Teil macht man doch sowieso erstmal platt und flasht nen neues Bios/UEFI… will man evtl. noch Daten "Auskundschaften/ausbeuten tausch man die Platte…
Nur Idioten klauen nen Rechner und unternehmen nix um das auffinden zu unterbinden! Ne MAC Adresse bringt auch nix die lässt sich per Tool auf Knopfdruck überschreiben!
Windows Home oder Linux sind doch häufig eingesetzte alternativen.
Was will man denn mit diesem … Linux?
Man kann bei einem geklauten Gerät mit Linuxstick die Platte Löschen und das Gerät wenn es nich Biospasswort besitzt weiter verkaufen, manche Geräte werden per Resetknopf zurückgesetzt oder gelöscht. Dafür ist Linux gut. Aber hab mir auch mal den Spaß gemacht und hab nen Googletracker auf ein Handy drauf gemacht so kann ichs wenn der Dieb nicht die Karte austauscht und den reset auslöst zurück verfolgen. Wenn natürlich die Macadresse gespeichert ist, können solche Dienste nicht überlistet werden. Höchstens die Dienste bauen Mist so wie in dem Artikel beschrieben. Dann ist es allerdings Menschliches oder Robotversagen.
"Was will man denn mit diesem … Linux?"
Produktiv arbeiten zum Beispiel, anstatt permanent Verrenkungen zu machen, um die neuesten Gängelungen – viele davon nachlesbar hier im Blog – von MS zu beherrschen.
Lol. Ein Klassiker. Fehler des Klarna Teams, die Funktion (Intune Autopilot) arbeitet exakt wie designed. Die haben ihre Prozesse wohl nicht im Griff, das entfernen der Device-ID aus der AP-Datenbank und dem Azure Active Directory der Bank sollte zum Standard gehören, wenn Geräte aus dem produktiven Betrieb genommen werden.
Und ja, es könnte auch sein, dass die Admins gar nicht wussten, das das Device registriert ist. Das macht nämlich in der Regel der Hersteller während der Produktion und die Option wird im Bestellprozess mit einem einfachen Klick zusätzlich ausgelöst. Und wenn Einkauf und IT nicht miteinander sprechen, kommt genau sowas dabei raus.
Wir hatten letztes Jahr den Spaß, dass ein großer, unfähiger – aber von Einkauf geliebter – Hardware-Hersteller mit weniger als 5 Buchstaben bei einer kleineren Bestellung von 800 Geräten die Tenants vertauscht hatte. Wir hatten dann nagelneue Geräte, die sich bei einem uns fremden Unternehmen anmelden wollten. Der Hersteller hat dann fast 3 Wochen gebraucht um seinen Fehler, vermutlich zusammen mit Microsoft zu korrigieren. Bewegt haben die sich auch erst, als wir gedroht hatten, die Geräte unbezahlt zurückzuschicken. Man kann den Hardware Hash übrigens auch während der OOBE Phase auslesen. Dann muss man das Gerät nicht durchinstallieren. https://www.thelazyadministrator.com/2020/01/27/get-a-new-computers-auto-pilot-hash-without-going-through-the-out-of-box-experience-oobe/
Und ja, Klarna muss das lösen. Falls die IT Admins nicht reagieren, würde ich dort einen Sicherheitsvorfall melden. Ein solches Gerät ist kein unerhebliches Sicherheitstrisiko für die Truppe. Jetzt bräuchte ein Angreifer eigentlich nur noch Zugangsdaten und, mit ein wenig Glück, hätte er ein vertrauenswürdiges Gerät mit direktem Zugriff auf die interne IT von Klarna. Lateral Movement, ich komme.
Den Fehler zu beheben ist tatsächlich für die meisten Hersteller maximal simpel. Alle Geräte die der Hersteller (oder der CSP) über das Partnerportal registriert haben können darüber durch den jeweiligen Partner auch wieder deregistrieren werden. Heißt, File mit den Seriennumern finden, zum de-registrieren hochladen, zum re-registerieren erneut hochladen. Easy peasy.
Der Hersteller mit weniger als 5 Buchstaben macht(e) es aber über die Store for Business Schnittstelle, was ein Fehler war, im Nachhinein betrachtet. Dafür waren sie die Ersten die es konnten.
Das Gerät ist im Intune als Autopilot- Gerät registriert. Windows Autopilot ist ein Cloud- Deployment Verfahren, welches kein angepasstes Windows benötigt.
Beim Abbau eines Arbeitsplatz muss die Registrierung des Gerätes aufgehoben werden.
Das nutzen wir auch. Wir haben aber auch schon Mal unangenehme Probleme damit gehabt, wir hatten ein Notebook im Garantiefall, Lenovo hat dann ein Refurbished Mainboard eingebaut. Das Ergebnis war dann das wir es nicht registrieren könnten weil es noch in einem fremden Tenanten registriert war.
Immer Autopilot entfernen wenn man so ein Gerät eingeschickt oder reparieren lässt (Mit MB Tausch)
Danke für die Bestätigung aus der Praxis – mir gingen beim Vorposter so einige Gedanken zum "Beim Abbau eines Arbeitsplatz muss die Registrierung des Gerätes aufgehoben werden." durch den Kopf. Ist halt ein "eitel Sonnenschein-Wunsch", der in der Praxis dann zum Ärger führt.
Eine ISO von Win 10 20Hxx oder älter verwenden?
bringt nix autopilot ist seit 1809 supported.
Dachte ich zuerst auch. Er spielt wohl aber auf die offizielle Angabe von Microsoft an, wonach nicht mehr unterstützte Windows-Versionen auch von Intune nicht mehr unterstützt werden. So lange wie bisher bei einem Wechsel auf eine neuere Version kein Inplace-Upgrade notwendig ist, eigentlich eine gute Idee. Ansonsten wäre spätestens da Schluss, da ein Inplace-Upgrade auch wieder den OOBE Prozess triggert (sofern auch hier wieder nur mit Netzwerkverbindung in Frage kommt).
Der läuft dann trotzdem erst mal in den Azure AD join und versucht nach Intune zu enrollen und bleibt da dann erst mit einer Fehlermeldung hängen.
schon bei der Überschrift wurde mir ziemlich schnell klar wo das Problem liegt. ja , Autopilot ist eine tolle Sache aber, naja wenn der Admin dabei Mist baut, dann funktioniert es halt eben nicht gut , bzw dann funktioniert es genauso wie es gedacht ist, aber eben nicht mehr sein sollte.
windows autopilot, lenovo cloud deploy. immer mehr unfug wird in die welt gesetzt. wozu eigentlich? werden die admins immer dümmer. wie konnten firmen vor jahren nur überleben.
mehr und mehr wird es für manche zur lebensaufgabe, ein gerät, sei es notebook, smartphone oder pc so zurücksetzen, dass es problemlos auch weiterverkauft werden kann.
Das ist wahrscheinlich die logische Erklärung weshalb Windows 11 Pro 22H2 beim installieren während der Ersteinrichtung auf eine Netzwerkverbindung bestand. Ohne aktive Internetverbindung startete der Ersteinrichtungsprozess nicht. Wenn man später während des Ersteinrichtungsprozesses das LAN Kabel abgezogen hat, gab es eine Fehlermeldung "Verbindung verloren". Nach dem erneuten anschließen des LAN Kabels startete der Ersteinrichtungsprozess erneut von vorn.
Installiert wurde mit dem ISO: "Win11_22H2_German_x64v1.iso.
Ein komplettes offline Installieren von" Windows 11 Pro 22H2 ist somit nicht mehr möglich.
Ein lokales Benutzerkonto anlegen hat ohne Probleme funktioniert.
Und was ist mit bypassnro.cmd?
Shift & F10 bei Sprachauswahl und
oobe\bypassnro
reicht auch. Oder meintest du das?
Unter Windows11 22H2 funktionierender Workarround:
========================================
Sobald die Netzwerk-Aufforderung erscheint:
SHIFT+F10
net user "Admin" /add
net localgroup "Administratoren" "Admin" /add
net localgroup "Benutzer" "Admin" /delete
cd oobe
msoobe && shutdown.exe -r
HAMMERGEIL, danke dafür!!! Funktioniert super!
Warum funktioniert das? Gibt es etwas techn. Hintergrund dazu?
Ich hatte mal ein Laptop welches aus der Lenovo Reparatur kam (Mainboard tauschen) und dann in einem fremden Intune gefangen war, auch schön! Ich hab dann da den Admin angerufen und er hat es raus genommen
Für uns ist das Windows Autopilot Programm ein Segen, alles funktioniert, wenn man denn alles richtig managed, einwandfrei und erleichtert die Administration der Geräte wie noch nie zuvor. Menschliche Fehler passieren leider immer.
Workaround der bei funktioniert hat:
Neuinstallation und kurz nach dem Installationspunkt mit dem Netzwerk das LAN-Kabel ziehen. Kurz darauf meckert die Installationsroutine und man dann kann/darf man das LAN-Kabel wieder ziehen. Folglich kam bei mir nicht mehr der Zwang zur Azure-AD-Anmeldung vom Vorbesitzer sondern die "normale" Installationsroutine…