PIN zurücksetzen Fehler“CAA2000B“ auf AzureAD „registered“ Geräten nach Office 365 Installation

Man registriert sein Windows-Gerät, auch den Home-PC, automatisch ins Microsot 365 AzureAD eines Unternehmens, indem man nach einer Office 365 Installation den Haken bei „Verwaltung meines Gerätes durch meine Organisation zulassen“ nicht entfernt. Alternativ kann man auch links unten auf den „unsichtbaren“ Button „Nein, nur bei dieser App anmelden“ klicken.

Wenn man sein Gerät registiert hat taucht es auch nach wenigen Cloudmomenten im AzureAD Device Manager auf:

Und bekommt von dort einige Richtlinien. Vor allem die Sicherheitsrichtlinien greifen dann auf dem Gerät – machmal ist das bei „Privat-PCs“ etwas überraschend.

Fehler CAA2000B (AADSTS500014)

Standardmäßig tritt beim zurücksetzen der Windows-Hello PIN auf dem PC nach dem Azure AD Registrierungsvorgang dieser Fehler auf:

Es ist ein Problem aufgetreten

wir konnten sie nicht anmelden. Falls dieser Fehler weiterhin besteht, wenden Sie sich an den Systemadministrator, und geben Sie den Fehlercode an: CAA2000B.

Das liegt daran, das der Administrator die „App“ die die Zugangs-PIN ändern will erst zu „seinem“ Azure AD hinzufügen und bestötigen muss.

Lösung

1. Die PIN-Reset Web-App „Service“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=b8456c59-1230-44c7-a4a2-99b085333e84&resource=https%3A%2F%2Fgraph.windows.net&redirect_uri=https%3A%2F%2Fcred.microsoft.com&state=e9191523-6c2f-4f1d-a4f9-c36f26f89df0&prompt=admin_consent

2. Die PIN-Reset Web-App „Client“ aufrufen und als Globaler Administrator anmelden. Am einfachten mit GENAU diesem Link:

https://login.windows.net/common/oauth2/authorize?response_type=code&client_id=9115dd05-fad5-4f9c-acc7-305d08b1b04e&resource=https%3A%2F%2Fcred.microsoft.com%2F&redirect_uri=ms-appx-web%3A%2F%2FMicrosoft.AAD.BrokerPlugin%2F9115dd05-fad5-4f9c-acc7-305d08b1b04e&state=6765f8c5-f4a7-4029-b667-46a6776ad611&prompt=admin_consent

2. Im folgenden Assistenten in BEIDEN Fällen die App „Microsoft Pin Reset Service Production“ (Client und Service) bestätigen:

„Microsoft PIN Reste Service Production“ für Windows Hello erlauben

Ob das geklappt hat kann man danach sofort im Microsoft Entra Admin Center überprüfen:

  1. Ins AzureAD einloggen via https://entra.microsoft.com/
  2. Azure Active Directory > Anwendungen > Unternehmensanwendungen > Alle Anwendungen > „PIN“ suchen

Es sollten dort nun zwei Apps auftauchen:

Und schon (nach dem nächsten Neustart mit Internet) funktioniert das PIN-Ändern wieder wie vorher.

Wenn der Vorgang trotzdem noch fehlschlägt, hilft oft ein Blick in das Cloud App Security Dashboard für Anwendungen; möglicherweise hat hier anderer Admin das OAUTH dieser Apps vielleicht blockiert …

Office 365 gemeinsamer Kalender („Shared Mailbox“) wird in Outlook doppelt angezeigt

Wenn im Outlook 365 unter „Freigegebene Kalender“ Kalender doppelt angezeigt werden, oder ein Kalender an zwei Orten gleichzeitig (zum Beispiel „Meine Kalender“ und nochmal als „Freigegebener Kalender“) auftaucht, liegt das warscheinlich an einem Refresh-Effekt im Cache Mode von Outlook.

Das Problem gibt es erst seit Office 2010 („Microsoft has confirmed this to be a Problem“), das wird sicher ganz bald gepatcht 🤦‍♂️

Lösung

Die doppelten Einträge passieren, wenn ein Benutzer Vollzugriff auf ein anderes Postfach hat.

Das Postfach wird -normalerweise- via Automount am Client eingebunden. Weil das gerne mal einen Moment dauert, wird das Postfach oft in Outlook manuell hinzugefügt oder via „Ordner eines anderen Benutzer öffnen“ angezeigt. Mit der darauf folgenden Synchronisierung des Adressbuches erscheint der doppelte Eintrag.

Ein Outlook-Start via

outlook /resetsharedFolders

behebt den Efekt sofort.

PowerShell ISE an der PowerShell installieren

Manchmal braucht man nur „mal eben“ ein Feature. Das ist hier grade passiert mit dem Commandlet Out-Gridview. Für einen Benutzer sind grafische Ausgaben oft sehr sinnvoll und das Tool gehört ja „leider“ nur zur Powershell ISE und lässt sich nicht einzeln installieren.

Lösung

Die PowerShellISE direkt an der PowerShell installieren:

Import-Module servermanager; Add-windowsFeature powershell-ise

Für neue Outlook-Besprechungen (Termine) Teams als Standard abschalten

So gut Teams technisch auch immer funktionieren mag, die Standardvorgabe bei der Erstellung eines neuen Termins auf „Online“ zu stellen ist nicht immer sinnvoll – vor allem nach der Corona-Pandemie.

Wie genau sich die Vorgabe (Standartmäßig offline) geändert hat konnten wir nicht nachvollziehen, „auf einmal“ sind viele Outlooks auf Standartmäßige Teams-Meetings umgestellt. Wir haben auch schon viele Meetings bekommen, mit einem Nachtrag „nicht mehr online“ 😏

Bei der Erstellung eines neuen Termins kommt es in Outlook zudem zu einer nervigen zusätzlichen Wartepause, weil Outlook erst auf die Antwort der Teams-Clouddienste wartet. Das ist oft unnötig – zumal man bei Bedarf durchaus auch wieder „An Teams Besprechung teilnehmen“ auswählen kann.

Outlook Termin/Besprechung pro Termin umstellen

„Nicht online Hosten“ lässt die Teams-Besprechung nachträglich verschwinden

Teams entfernen geht natürlich im ersten Schritt für jeden Termin einzeln, über den Button „Nicht online Hosten“.

Dieser entfernt alle Teams-Settings aus der Besprechung und auch die automatisch eingefügen Inhalte, wie den Besprechungs-Link.

Outlook Standart-Vorgabe für neue Termine ändern

Die Standardeinstellung für neue Termin lässt sich in Outlook grundsätzlich ändern:

Datei > Optionen > Kalender > „Besprechungsanbieter hinzufügen“ > „Onlinebesprechungen zu allen Terminen hinzufügen“ (Haken entfernen)