Anzeige

Am Puls von Microsoft

Anzeige

Fragen zu MDM (Mobile-Device-Management)

g-force

nicht mehr wegzudenken
Ich kaufe ab & zu Laptops aus Firmenbeständen auf. Diese Laptops sind teilweise in MDM registriert, da der Vorbesitzer (teilweise Leasing-Firmen) diese Laptops dort angemeldet hat. Natürlich kommen die Laptops schon gelöscht bei mir an, auch bei meiner Windows-Installation werden alle Festplatten automatisch formatiert - alte Daten sind auf keiner Festplatte vorhanden.
Normalerweise löscht der Vorbesitzer diese Geräte auch aus seiner MDM-Liste, damit diese wieder "frei" sind. Leider klappt das aber nicht immer - und leider ist der Vorbesitzer nicht immer erreichbar (evtl. Konkurs, nicht gekümmert, etc). Diese Geräte werden auch nicht automatisch wieder frei, wenn sie mehrere Monate offline sind.
Diese Geräte sind für mich leider (bisher) unbrauchbar, weil bei einer frischen Windows-Installation vom Gerät Kontakt ins Internet aufgenommen wird und bei der Benutzer-Einrichtung dann eine Meldung kommt, man möge sich mit einer eMail-Adresse bei der (immernoch) registrierten Firma (Vorbesitzer) anmelden möge. Dieser Vorgang ist dauerhaft und lässt sich nicht umgehen. Nochmal: Die Festplatten wurden mehrfach komplett formatiert und ein neues Windows installiert.
Die MDM-Daten sind vermutlich im BIOS oder NVRAM gespeichert. Aber auch ein CMOS-Reset, ein BIOS-Update oder ein "Reset to Defaults" entfernt diese Informationen. Eine Windows-Installation im "Audit-Modus" ist möglich, aber im "OOBE-Modus" ist nach der Sprachauswahl Schluß, der Screen "Willkommen bei Vorbesitzer/Firma" erscheint. Es ist sehr schade um diese Laptops, die ich gerne gemeinnützigen Organisationen zur Verfügung stellen würde.

Wie kann ich diese MDM aus den Laptops elimenieren, wenn der Vorbesitzer diese nicht selber aus MDM herausnimmt?
 
Anzeige
Wie kann ich diese MDM aus den Laptops elimenieren, wenn der Vorbesitzer diese nicht selber aus MDM herausnimmt?

nach meinen Informationen gar nicht

Die MDM-Daten sind vermutlich im BIOS oder NVRAM gespeichert.

genau, vergleichbar mit den dort hinterlegten Hash Werten einer Windows Aktivierung

darum nützen auch weder Cmos clear noch Bios Update etwas, denn die löschen diese Hash Werte nicht
 
Ich habe da Etwas in den Gruppenrichtlinien gefunden. Aber wahrscheinlich kommst du gar nicht bis zum Desktop.
Oder in der Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
einen neuen Schlüssel MDM erstellen und darin ein DWORD
DisableRegistration mit dem Wert 1.
Bearbeite mal die Registry der install.wim mit dism oder dism++. Einen Versuch ist es Wert.
 

Anhänge

  • MDM.png
    MDM.png
    31,6 KB · Aufrufe: 79
Zuletzt bearbeitet:
Wenn Festplatten löschen und Windows neu installieren nichts bringt, muß das MDM ja wo anders gespeichert sein. Bleibt ja nur der BIOS-Chip (ein nicht von außen löschbarer Teil). BIOS Chips kann man allerdings auslöten und durch einen anderen ersetzen.
Vielleicht ist das eine (reichlich umständliche) Lösung.
 
@Porky
Ich komme bis in den Desktop, allerdings nur im Audit-Modus als "eingebauter Administrator".
 
Zuletzt bearbeitet von einem Moderator:
Reicht leider nicht. Neuinstallation im Audit-Modus, Regtweak ausgeführt. SysPrep und Neustart in OOBE - leider wieder Firmen-Screen.
 
das könnt ihr vergessen, unter Windows greift da nichts

entweder das Bios reflashen und es gibt in Deutschland eine Handvoll Leute, die das können

oder eben korrekt vom MDM austragen
 
Es wird aber nur die Einrichtung verhindert. Hat sie stattgefunden, dürfte/darf es damit nicht mehr möglich sein die Sperre aufzuheben, sonst wäre die Anforderung sinnlos
 
Zuletzt bearbeitet:
Wie kann ich diese MDM aus den Laptops elimenieren, wenn der Vorbesitzer diese nicht selber aus MDM herausnimmt?

Gar nicht.

Im Tenant des Vorbesitzers bei Microsoft ist ein Hardware-Hash gespeichert, der aus diversen Identifikationsmerkmalen des Gerätes gebildet wird. Der bleibt da drin, solange der Tenant existiert.

Hier im Artikel wird aufgelistet, was dazu alles verwendet wird:
Breaking down the Windows Autopilot hardware hash – Out of Office Hours (oofhours.com)

  • DiskSerialNumber
  • TpmVersion
  • EkPubHash
  • MacAddress
  • ProductKeyId
  • SmbiosSystemFamily
  • SmbiosSystemManufacturer
  • SmbiosSystemProductName
  • SmbiosSystemSerialNumber
  • SmbiosUuid

Diverse dieser Details müsstest du also verändern, was bei den meisten Punkten gar nicht möglich ist.
Das Gerät muss also stattdessen sauber aus dem Autopilot des Vorbesitzers gelöscht werden.

Wenn der Vorbesitzer pleite ist und seinen Tenant bei Microsoft nicht mehr bezahlt, wird dieser sicherlich irgendwann gelöscht und damit auch die MDM-Registrierung. Wie lange das praktisch dauert, hab ich noch nicht austesten können.

Ansonsten kannst du, wenn du solche Geräte kaufst, sie nur an den Verkäufer zurückgeben. Die Geräte sind so nicht brauchbar.
 
Wenn ich bei einem PC größere Änderungen vornehme (z.B. Austausch der CPU), dann wird oft der Hardware-Hash des PC verändert, oder nicht? Das sieht man dann daran, daß z.B. die Windows-Aktivierung nicht mehr gültig ist. Es scheint also zu reichen, die Hardware-UUID einer Komponente zu verändern, um den Hardware-Hash zu verändern.
Natürlich will ich jetzt nicht bei jedem Laptop zu CPU austauschen. Ich suche nach einer Möglichkeit, eine der relevanten UIDD zu verändern.
 
Nein, auch das wird im Artikel beschrieben. Das ist nicht mit dem Hash für die Aktivierung vergleichbar. Es ist in diesem Fall kein Hash über alle Komponenten und der Wert ändert sich sowieso bei jedem Mal, wenn ein Gerät eingetragen wird. Es ist stattdessen eine Auflistung. Lies den Artikel ruhig noch mal ganz. ;)

Es muss somit eine größere Anzahl von Änderungen stattfinden, damit Microsoft das Gerät nicht mehr als "das Gerät" erkennt.
 
Okay, der Punkt war mir nicht ganz klar, ob schon EINE Veränderung reicht oder es mehrere sein müssen.

Wie könnte ich denn mit einem "Schnelltest" herausfinden, ob das Gerät registriert ist? Bisher bemerke ich die Registrierung erst, nachdem ich Windows installiert habe und dann im OOBE vom Firmen-Login begrüßt werde. Geht da was über ein "WinPE"?
 
Ich kaufe ab & zu Laptops aus Firmenbeständen auf. Diese Laptops sind teilweise in MDM registriert, da der Vorbesitzer (teilweise Leasing-Firmen) diese Laptops dort angemeldet hat.
Ja das hatte ich auch schon und falls die Geräte sich nicht frei schalten lassen, sende ich die Geräte auch als Defekt umgehend zum Verkäufer zurück.
Das hat jedoch nichts mit Microsoft zu tun, da sind im UEFI BIOS Software enthalten, die automatisch installiert wird, sobald das Gerät mit dem Internet verbunden wird.
Das kann man sich so ähnlich vorstellen wie die ASUS Armoury Crate Software, die ganz automatisch beim ersten Verbinden mit dem Internet installiert wird, nur dass es nicht im BIOS deaktivieren kannst.
Wenn also der löscht, der Vorbesitzer dieser Geräte sie nicht bei seinem Dienstanbieter aus seiner MDM-Liste löscht sind die Geräte, als Elektroschrott anzusehen.

 
Es ist schon komisch, daß man als (neuer) Besitzer eines PC/Laptop diesen nicht irgendwie in den Auslieferungszustand zurücksetzen kann.
 
Das verstehe ich. Aber es dient ja hauptsächlich dem Schutz der Daten - und die sind nicht mehr vorhanden.
Das ein solches Gerät nun Schrott sein soll, geht mir irgendwie gegen den Strich.
 
Das ein solches Gerät nun Schrott sein soll, geht mir irgendwie gegen den Strich.
Das kann ich sehr gut nachvollziehen, ich habe damals auch lange mit mir gerungen, das Gerät als defekt einzustufen und einfach wieder zurück zu geben.
Es sollte doch eine Möglichkeit geben, mittels Kaufvertrag des Geräts das Gerät von dieser Liste einfach streichen zu lassen.
 
Anzeige
Oben