Nachdem ich mich jetzt um eine Dokumentation zum Thema Himmelblau, dem Linux-Client für Entra Id“ gekümmert habe, wollte ich auch auch mal sehen, wie so ein Windows-Client in der Umgebung aussieht und verwaltet werden kann. Geht ja schnell. Kurz eine Windows 11 VM in VirtualBox eingerichtet dann mit Entra Id verbunden und? Die Ernüchterung schlägt schnell zu. Die Maschine wird immer als „non compliant“ angezeigt. Aber warum? Ein bisschen lesen hier und googlen dort und die Antwort ist gar nicht mal so einfach. Tipp vorab: Es liegt an der fehlenden Verschlüsselung mit bitLocker und dem nicht vorhandenem TPM.

Deshalb hier eine Schritt-für-Schritt-Anleitung, wie man eine Windows-VM in Intune auf „Compliant“ bringt, ohne das BitLocker und/oder TPM vorhanden sind.

1. Compliance-Policy erstellen

Problem ist, dass wenn ein Windows-Client in Entra-Id aufgenommen wird immer eine Compliance-Policy vorhanden sein muss. Ist keine eigen Policy vorhanden, wird eine default Policy genutzt und zwar die „Default Device Compliance Policy“. Diese Policy kann nicht geändert werden. Sie können diese Policy nur durch eine eigene Policy ersetzen. In der default Policy ist aber festgelegt, dass ein Client nur dann die Compliance-Regeln einhällt, wenn TPM, verschlüsselte Datenträger und secure Boot eingerichtet sind. Aber, dass trifft auf meine Vms nicht zu. Also muss eine eigen Policy her. Die folgenden Schritte sorgen dafür, dass auch meine VMs jetzt als „compliant“ angezeigt werden.

1. Das Intune Admin Center öffnen: https://endpoint.microsoft.com
2. Unter Geräte → Windows → Konformitätsrichtlinien → Richtlinie erstellen (Create Policy) Die Plattform: „Windows 10 und später“ auswählen und der Policy einen Namen geben z. B. „VM Compliance Policy“
3. In der Policy alle Einstellungen auf Nicht konfiguriert setzen:
   • BitLocker: Nicht konfiguriert
   • TPM: Nicht konfiguriert
   • Secure Boot: Nicht konfiguriert
   • Passwort/PIN: Optional
   • Defender / OS-Version: Optional
4. Dann die richtlinie speichern.

2. Erstellen einer Sicherheitsgruppe für die VM

Im portal von Entra Id muss jetzt eine Gruppe eingerichtet werden, in dann alle Windows-VMs Mitglied werden.

1. Unter Gruppen → + Neue Gruppe eine neu Gruppe ezeugen vom Typ „Sicherheitsgruppe“ und der Gruppe einen Name: z. B. „Win-VMs“ vergeben. An diesen Punkt wird die Mitgliedschaft jetzt manuell Zugewiesen. Es besteht auch die Möglichkeit Gruppen dynamisch zuzuweisen. Auf diese Möglichkeit werde ich hier nicht eingehen, da dieses Thema nicht mein eigentliches Problem betrifft.

3. Richtlinie der Gruppe zuweisen

Zurück zu Intune und die Gruppe der zuvor erstellten Policy zuweisen. Sie können natürlich die Gruppe auch erst einrichten und dann bei der Erstellung der Policy gleich zuweisen.

1. Unter Geräte → Windows → Kompatibilität finden Sie Ihre vorher erstellte Policy. Über die Eigenschaften können Sie jetzt die vorher erstellte Gruppe der Policy zuweisen
2. Speichenr Sie die neue Einstellung

4. Erzwingen der Policy auf der VM

Dazu öffnen Sie, auf der VM, die PowerShell als Administrator und führen den folgenden Befehl aus:

Start-Process „C:\Windows\System32\DeviceEnroller.exe“ -ArgumentList „/c“ -W

Sie können den Vorgang aber auch über die GUI durchführen und zwar unter Einstellungen →Konten → Auf Arbeits- oder Schulkonto zugreifen → Info → Synchronisieren klicken. Warten bis die Synchronisierung abgeschlossen ist. Eventuell die Windows-VM neu starten.

5. Prüfen des Compliance-Status

Im Intune Admin Center unter Geräte →Windows die VM auswählen und auf „Gerätekompatibilität“ klicken, dort sollte jetzt die neue Policy sichtbar sein und die VM sollte den Status „comliant“ haben

Das hat aber leider bei mir so nicht geklappt, es war immer noch nur die default Policy aktiv. Für den Fall jetzt hier der Weg zur Fehlersuche und Behebung.

6. Fehlersuche (falls Status immer noch Not Compliant)

Prüfen Sie, ob die VM Mitgliedschaft der Sicherheitsgruppe für die Windows-VMs istEin Blick in den Event Viewer zeigt auch Fehler an. Hier der Weg zum entsprechenden Ereignis.

Event Viewer → Applications and Services Logs → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Admin

Erzwingen sie eine erneute manuelle Synchronisation. Warte 10–15 Minuten nach Synchronisation und starten Sie die VM neu. Klappt immer noch nicht? Dann prüfen Sie, ob die
VM auch als Mitglied der Gruppe in Intune angezeigt wird. Gehen Sie dazu wieder auf die Eigenschaften der VM und klicken Sie auf „Gruppenmitgliedschaft“, dort sollte die Gruppe für Ihre
VMs eingetragen sein. Ist das nicht der Fall, dann gehen Sie in Intune wieder auf Geräte → Windows und klicken Sie auf Ihre VM dort klicken Sie dann oben in der Menüleiste auf „Löschen“,
damit wird die VM aus Entra Id ausgetragen. Wenn Sie jetzt die VM über Einstellungen → Konto wieder verbinden, sollten alle Informationen, auch die Gruppenmitgliedschaft, sauber synchronisiert werden.
Bei mir hatten anschließend alle VMs den Status „compliant“.

Noch eine Anmerkung: Ich bin es von OpenLDAP und auch Samba so gewöhnt, dass eine Änderung, nachdem ich sie bestätigt habe, auch sofort ausgeführt wird und das Ergebnis sichtbar ist. Mit den ersten Schritten bei Entra Id habe ich mich davon verabschiedet. Hier dauert es manchmal Stunden, bis eine Änderung auch sichtbar ist. Also besser einmal eine Tasse Kaffee mehr als hektisch versuche den „Fehler“ zu beheben.