Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Fragen zu MDM (Mobile-Device-Management)

g-force

g-force

treuer Stammgast
Ich kaufe ab & zu Laptops aus Firmenbeständen auf. Diese Laptops sind teilweise in MDM registriert, da der Vorbesitzer (teilweise Leasing-Firmen) diese Laptops dort angemeldet hat. Natürlich kommen die Laptops schon gelöscht bei mir an, auch bei meiner Windows-Installation werden alle Festplatten automatisch formatiert - alte Daten sind auf keiner Festplatte vorhanden.
Normalerweise löscht der Vorbesitzer diese Geräte auch aus seiner MDM-Liste, damit diese wieder "frei" sind. Leider klappt das aber nicht immer - und leider ist der Vorbesitzer nicht immer erreichbar (evtl. Konkurs, nicht gekümmert, etc). Diese Geräte werden auch nicht automatisch wieder frei, wenn sie mehrere Monate offline sind.
Diese Geräte sind für mich leider (bisher) unbrauchbar, weil bei einer frischen Windows-Installation vom Gerät Kontakt ins Internet aufgenommen wird und bei der Benutzer-Einrichtung dann eine Meldung kommt, man möge sich mit einer eMail-Adresse bei der (immernoch) registrierten Firma (Vorbesitzer) anmelden möge. Dieser Vorgang ist dauerhaft und lässt sich nicht umgehen. Nochmal: Die Festplatten wurden mehrfach komplett formatiert und ein neues Windows installiert.
Die MDM-Daten sind vermutlich im BIOS oder NVRAM gespeichert. Aber auch ein CMOS-Reset, ein BIOS-Update oder ein "Reset to Defaults" entfernt diese Informationen. Eine Windows-Installation im "Audit-Modus" ist möglich, aber im "OOBE-Modus" ist nach der Sprachauswahl Schluß, der Screen "Willkommen bei Vorbesitzer/Firma" erscheint. Es ist sehr schade um diese Laptops, die ich gerne gemeinnützigen Organisationen zur Verfügung stellen würde.

Wie kann ich diese MDM aus den Laptops elimenieren, wenn der Vorbesitzer diese nicht selber aus MDM herausnimmt?
 
Anzeige
rusticarlo

rusticarlo

gehört zum Inventar
g-force schrieb:
Wie kann ich diese MDM aus den Laptops elimenieren, wenn der Vorbesitzer diese nicht selber aus MDM herausnimmt?
Zum Vergrößern anklicken....

nach meinen Informationen gar nicht

g-force schrieb:
Die MDM-Daten sind vermutlich im BIOS oder NVRAM gespeichert.
Zum Vergrößern anklicken....

genau, vergleichbar mit den dort hinterlegten Hash Werten einer Windows Aktivierung

darum nützen auch weder Cmos clear noch Bios Update etwas, denn die löschen diese Hash Werte nicht
 
Porky

Porky

gehört zum Inventar
Ich habe da Etwas in den Gruppenrichtlinien gefunden. Aber wahrscheinlich kommst du gar nicht bis zum Desktop.
Oder in der Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
einen neuen Schlüssel MDM erstellen und darin ein DWORD
DisableRegistration mit dem Wert 1.
Bearbeite mal die Registry der install.wim mit dism oder dism++. Einen Versuch ist es Wert.
 

Anhänge

  • MDM.png
    MDM.png
    31,6 KB · Aufrufe: 16
Zuletzt bearbeitet:
P

PeteM92

gehört zum Inventar
Wenn Festplatten löschen und Windows neu installieren nichts bringt, muß das MDM ja wo anders gespeichert sein. Bleibt ja nur der BIOS-Chip (ein nicht von außen löschbarer Teil). BIOS Chips kann man allerdings auslöten und durch einen anderen ersetzen.
Vielleicht ist das eine (reichlich umständliche) Lösung.
 
g-force

g-force

treuer Stammgast
@Porky
Ich komme bis in den Desktop, allerdings nur im Audit-Modus als "eingebauter Administrator".
 
Zuletzt bearbeitet von einem Moderator:
g-force

g-force

treuer Stammgast
Reicht leider nicht. Neuinstallation im Audit-Modus, Regtweak ausgeführt. SysPrep und Neustart in OOBE - leider wieder Firmen-Screen.
 
rusticarlo

rusticarlo

gehört zum Inventar
das könnt ihr vergessen, unter Windows greift da nichts

entweder das Bios reflashen und es gibt in Deutschland eine Handvoll Leute, die das können

oder eben korrekt vom MDM austragen
 
Webwatcher

Webwatcher

gehört zum Inventar
Es wird aber nur die Einrichtung verhindert. Hat sie stattgefunden, dürfte/darf es damit nicht mehr möglich sein die Sperre aufzuheben, sonst wäre die Anforderung sinnlos
 
Zuletzt bearbeitet:
IngoBingo

IngoBingo

gehört zum Inventar
g-force schrieb:
Wie kann ich diese MDM aus den Laptops elimenieren, wenn der Vorbesitzer diese nicht selber aus MDM herausnimmt?
Zum Vergrößern anklicken....

Gar nicht.

Im Tenant des Vorbesitzers bei Microsoft ist ein Hardware-Hash gespeichert, der aus diversen Identifikationsmerkmalen des Gerätes gebildet wird. Der bleibt da drin, solange der Tenant existiert.

Hier im Artikel wird aufgelistet, was dazu alles verwendet wird:
Breaking down the Windows Autopilot hardware hash – Out of Office Hours (oofhours.com)

  • DiskSerialNumber
  • TpmVersion
  • EkPubHash
  • MacAddress
  • ProductKeyId
  • SmbiosSystemFamily
  • SmbiosSystemManufacturer
  • SmbiosSystemProductName
  • SmbiosSystemSerialNumber
  • SmbiosUuid
Zum Vergrößern anklicken....

Diverse dieser Details müsstest du also verändern, was bei den meisten Punkten gar nicht möglich ist.
Das Gerät muss also stattdessen sauber aus dem Autopilot des Vorbesitzers gelöscht werden.

Wenn der Vorbesitzer pleite ist und seinen Tenant bei Microsoft nicht mehr bezahlt, wird dieser sicherlich irgendwann gelöscht und damit auch die MDM-Registrierung. Wie lange das praktisch dauert, hab ich noch nicht austesten können.

Ansonsten kannst du, wenn du solche Geräte kaufst, sie nur an den Verkäufer zurückgeben. Die Geräte sind so nicht brauchbar.
 
g-force

g-force

treuer Stammgast
Wenn ich bei einem PC größere Änderungen vornehme (z.B. Austausch der CPU), dann wird oft der Hardware-Hash des PC verändert, oder nicht? Das sieht man dann daran, daß z.B. die Windows-Aktivierung nicht mehr gültig ist. Es scheint also zu reichen, die Hardware-UUID einer Komponente zu verändern, um den Hardware-Hash zu verändern.
Natürlich will ich jetzt nicht bei jedem Laptop zu CPU austauschen. Ich suche nach einer Möglichkeit, eine der relevanten UIDD zu verändern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben