Récemment un client a commencé à voir apparaître des erreurs lors de l’enregistrement automatique par la GPO de machines Windows 10 Hybrid Azure AD Join dans Microsoft Intune. Ces machines s’enregistraient jusqu’alors sans problème. Après vérification via la commande dsregcmd /status, la machine a correctement réalisé son opération d’Hybrid Azure AD Join. On peut observer la récupération de l’Azure AD PRT nécessaire à l’opération d’enregistrement.
Si vous ouvrez l’observateur d’événements et que vous naviguez dans Applications and Services Logs – Microsoft - Windows – DeviceManagement-Enterprise-Diagnostics-Provider puis Admin, vous pouvez observer les événements suivants :
Event ID : 52
MDM Enroll: Server Returned Fault/Code/Subcode/Value=(MessageFormat) Fault/Reason/Text=(Device based token is not supported for enrollment type OnPremiseGroupPolicyCoManaged).
EventID : 71
Inscription GPM : échec (Unknown Win32 Error code: 0x80180001)
EventID : 76
Inscription GPM automatique : informations d’identification de l’appareil (0x1), échec (Unknown Win32 Error code: 0x80180001)
Le premier événement donne une piste intéressante, indiquant un problème avec le token utilisé pour s’enregistrer. Après avoir vérifié, le client avait mis à jour ses fichiers ADMX avec la dernière version Windows 10 1903. Il s’avère que cette version d’ADMX met à jour le paramètre existant : Auto MDM Enrollment with AAD Token utilisé pour réaliser l’enregistrement automatique. Celui-ci est renommé Enable automatic MDM enrollment using default Azure AD credentials et ajoute une sous option permettant de spécifier le mode d’authentification choisi. L’administrateur peut choisir User Credential ou Device Credential.
La configuration réalisée sur la stratégie du client était définie sur Device Credential.
En passant l’option sur User Credential, les machines se sont mises à réaliser l’enregistrement automatique dans Microsoft Intune correctement.
L’effet pervers semble être que lors de la mise à jour de l’ADMX, ceci met à jour le paramétrage et assigne automatiquement la valeur Device Credential puisqu’elle est la première de la liste. Or le comportement jusqu’alors est d’utiliser les identifiants de l’utilisateur (User Credential).
Note : Device Credential n’est censé être applicable que pour les machines Windows 10 1903 et les anciennes versions sont censées utilisée User Credential quelque soit le paramétrage définit. Néanmoins, les observations que nous avons pu réaliser, contredisent ceci.
Vous pouvez vérifier la configuration d’un poste en allant regarder le registre : HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\MDM\UseAADCredentialType
- User Credential : 1
- Device Credential : 2