blog.atwork.at

news and know-how about microsoft, technology, cloud and more.

Windows Intune und Azure MFA

Cloud Services gibt es viele. Die meisten davon kann man auch kombinieren. In Einzelfällen kann es aber zu seltsamen Phänomenen führen.

Heute habe ich das bei einem Kunden so gesehen. Um das Problem simpel zu erklären: Es gibt eine Windows Intune Trial Installation inkl. SCCM Anbindung und allem drumherum. Die Company Portal App für iOS und Android Devices ist bereits deployed, aber bei den Windows Phones happerts und will es nicht so recht klappten (man erkennt die Ironie...)

Das Unternehmensportal am Beispiel eines Android Devices ist eine einfache Applikation die es erlaubt, dass sich der User selbst aus dem jeweiligen Store eine Applikation lädt mit der er sich an sein Unternehmen binden kann.

Android Unternehmensportal

Ein einfacher Klick auf "Dieses Gerät hinzufügen" und nach einer kurzen Anmeldung...

Windows Intune Portal Anmeldung

...ist man dem Admin seines Unternehmes auf Gedei und Verderb ausgeliefert.

Jetzt ist das nur so, dass in Android und iOS das Ganze mehr oder weniger ein Frame ist der eine Webseite anzeigt. Also - mal ehrlich, viel mehr ist das bis hierhin nicht. Was das Ganze natürlich auch recht unkompliziert macht und in meinem Fall kein Problem darstellt, wenn ein User so schlau war und Azure Multi Factor Authentication aktiviert hat. Eine super Sache - kommt halt nach dem ersten Anmeldefenster eine einfache Abfrage des PINs (ist ja nix anderes als eine FormsBased Authentication vom dahinterliegenden ADFS das dann nach dem MFA Secret fragt).

Sidenote: Falls jemand nach dem Eintippen der Mailadresse im Android Client den Redirect aufs Company ADFS bekommt, aber nie ankommt (also ewig die Punkte laufen) überprüft am besten mal welches Zertifikat das ADFS präsentiert. Traut der Android Client dem Zertifikat nicht, bleibt der Redirect genau dort einfach stehen und kommt nie wieder - ohne Fehlermeldung...

Macht man das Ganze jetzt aber mit einem Windows Phone, ja schade...

In dem Protokoll des Windows Devices (das man mit den drei kleinen Punkten rechts unten verschicken kann, sobald man den Fehler beim Company Portal verbinden bekommen hat) steht nur lapidar:

2014-06-12T13:35:59.7791303Z INFO Event None          0 BEGIN_METHOD : [MainPage.webBrowser_NavigationFailed]
2014-06-12T13:35:59.7841696Z INFO Event None          0 BEGIN_METHOD : [LoginPageViewModel.OnLoginFailed]
2014-06-12T13:35:59.7861848Z INFO Event None          0 The exception is null

Jo, hilft ned viel weiter. Aber - es bedeutet zumindest mal - der Login geht nicht. Wenn man dann ein wenig nachforscht. (ja - ich hab wen gfragt! => Danke Cornelia!) dann stößt man auf die Release Notes von Windows Intune vom 16. Juni 2014. Hier steht:

The current release of Windows Intune does not support Windows Azure Multi-Factor Authentication and fails to enroll applicable devices...

Jo blöd...

Sollte also jemals jemand auch diesen Fehler finden - dankt der Cornelia und denkt dran - MFA ist super und ich find es ein wirklich gutes Feature.

Aber für Windows Intune ist es (noch) nicht verwendbar!

LG Christoph

Loading