Microsoft Endpoint Manager (Intune) – Konfigurationsprofile Tattooing Registry Problematik

Immer mehr Unternehmen verwalten Ihre Geräte über zentrale Systeme wie den „Microsoft Endpoint Manager“ (ehemals Microsoft Intune).
Vorteile sind u.a. das voll automatisierte Ausrollen benutzerdefinierter Windows-Installationen, Zero-Touch-Experience für Mitarbeiter in Bezug auf Software-installationen, Management von mobilen Geräten, aber auch das Ausrollen von Einstellungen wie man es im On-Premises-Umfeld von Gruppenrichtlinien kennt.

Im Falle Endpoint-Manager (Intune) läuft das Ausrollen dieser Richtlinien über Konfigurationsprofile, die für jede erdenkliche Plattform definiert werden kann. Doch was ist, wenn diese Richtlinie nicht mehr benötigt wird? Kann man sie einfach deaktivieren? Die Antwort wäre „zum Teil…“, denn einige Profile bzw. die sich darin befindenden Konfigurationen verankern sich tief im System. Diese Art von Profil nennt Microsoft „Policy-Tattooing“.

Was hat es mit diesem „Tattooing“ auf sich?
Wie es das Wort schon sagt, werden die Konfigurationen wie ein Tattoo fest im System definiert. Um genauer zu sein, befinden sich die gesetzten Werte in der Registry, woraus sie durch das Deaktivieren der Profile auch nicht mehr herausgenommen werden.
Ändert man nun die besagten Werte manuell, kann es sein, dass das Tattooing die manuellen Werte überschreibt. An der Stelle gibt es nur zwei Möglichkeiten:

  • Neuinstallation des Gerätes
  • Manuelles Löschen der gesetzten Registry-Settings

Die richtigen Einträge zu finden kann sich als etwas schwierig herausstellen. Grundsätzlich gibt es aber einen gängigen Pfad, der viele dieser Konfigurationen beinhaltet.

HKLM:\SOFTWARE\Microsoft\PolicyManager\Providers\

Sobald die fehlerhafte Konfiguration gefunden und gelöscht wurde, ist das Tattoing aufgehoben und die Richtlinie außer Kraft gesetzt.

In der Realität
User, die ihr Gerät AzureAD-Joinen werden automatisch als lokaler Administrator definiert. Möchte man genau das nicht, kann man dem User die Rechte via Custom-Konfigurationsprofil entfernen oder gar andere User berechtigen. [Weiterführender Artikel zu diesem Beispiel]

Aber!
Konfigurationen dieser Art sind anschließend fest in der Registry verdrahtet und werden durch das Deaktivieren des Konfigurationsprofils nicht rückgängig gemacht!
Fügt oder entfernt man User aus der LocalAdmin-Gruppe, sorgt das Tattoo für ein ständiges Überschreiben der manuell gesetzten Werte.
Die Lösung hier wäre, das Konfigurationsprofil zu deaktivieren und die verdrahteten Werte aus der Registry zu entfernen.