Während meiner Tests verändere ich in Entra ID und Intune immer wieder Konfigurationen. So auch vor ein paar Tagen. Für einen Tests löschte ich in Entra ID eines meiner “Entra registered” Devices.
In Windows melden Microsoft Applikationen (wie Edge, Teams und andere) zuerst das Gerät sei gelöscht worden.
Your organization has deleted this device.
Das Gerät ist über Windows weiterhin mit Entra ID verbunden. Ich löse die Verbindung über Windows Settings > Accounts > Access work or school. Dadurch zeigen Applikationen die Meldung nicht mehr.
Über Windows Settings > Email & Accounts möchte ich das Konto wieder hinzufügen, um meinen PC erneut in Entra ID zu registrieren.
Alternativ zeigen Edge, Teams und andere Microsoft Applikationen die bekannte Meldung eine Organisation könnte das Gerät verwalten.
Meine Neuregistrierung des PCs dauert sehr lange und endet mit einem Fehler / Time-out.
CAA50021 – Number of retry attempts exceeds expectation
Kontrolle in Entra ID zeigt für das Konto und “Device Registration Service” permanent Fehler.
Die Suche nach dem Fehler CAA50021 ergibt eine Unmenge an Vorschläge zur Lösung. Keine hat in meinem Fall geholfen.
In FAQs von Microsoft wird in einem Abschnitt folgende Information notiert:
What are the MS-Organization-Access certificates present on our Windows 10/11 devices?
The MS-Organization-Access certificates are issued by the Microsoft Entra Device Registration Service during the device registration process. These certificates are issued to all join types supported on Windows – Microsoft Entra joined, Microsoft Entra hybrid joined and Microsoft Entra registered devices. Once issued, they’re used as part of the authentication process from the device to request a Primary Refresh Token (PRT). For Microsoft Entra joined and Microsoft Entra hybrid joined devices, this certificate is present in Local Computer\Personal\Certificates whereas for Microsoft Entra registered devices, certificate is present in Current User\Personal\Certificates. All MS-Organization-Access certificates have a default lifetime of 10 years. These certificates are deleted from the corresponding certificate store when the device is unregistered from Microsoft Entra ID. Any inadvertent deletion of this certificate leads to authentication failures for the user, and requiring re-registration of the device in such cases.
Mein Gerät wurde gelöscht. Im Audit Log von Entra ID finde ich die gelöschte Device ID.
Ich prüfe die lokalen Zertifikate für mein Konto. Das Zertifikat von meinem gelöschten Gerät ist weiterhin vorhanden.
Ich lösche das Zertifikat und versuche die Registrierung für meinen PC erneut.
Es dauert nur wenige Sekunden und mein PC wird erfolgreich registriert.
In Entra ID wurde mein PC neu registriert.
Auf meinem PC das Zertifikat neu erstellt.
Fazit:
Wenn du ein Gerät in Entra ID löscht und es neu registrieren willst, achte darauf ob das alte Zertifikat weiterhin am PC verfügbar ist.
