MTR on Android Troubleshooting – Die häufigsten Probleme

In diesem Blog Post zeige ich Ihnen die häufigsten Probleme bei der Anmeldung der Systeme und gebe Tipps zum Troubleshooting.

Wenn ein Proof of Concept, eine Demo oder eine Installation im Vorfeld nicht gut geplant wurde, kommt es beim Aufbau der entsprechenden Devices häufig zu Problemen. Einige der am häufigsten auftauchenden Themen zeige ich Ihnen nachfolgend. Aber bevor wir in die eigentlichen Fehler springen, fangen wir mit dem wichtigsten und gleichzeitig einfachsten Test an. Bitte prüfen Sie die folgenden 2 Basic Steps direkt und vorab:

Microsoft Teams Account Login prüfen

Rufen Sie in Ihrem Browser „https://teams.microsoft.com“ auf und versuchen Sie sich mit dem zu nutzenden Account einzuloggen. Wenn das funktioniert, haben wir bereits eine Fehlerquelle ausgeschlossen.

Nun testen wir auch noch schnell die Verbindung zu Outlook online.
Öffnen Sie Ihren Browser und rufen Sie „https://outlook.office.com/mail/“ auf.

Nachdem wir nun wissen, dass sowohl Ihr Microsoft Teams Login, als auch die Outlook Anmeldung funktioniert, schauen wir uns die Fehlerbilder im Detail an.

„Could not sign in. You will need to sign in again. If you see this message again, pleae contact your company support.“

Der Klassiker –
Die Zeiteinstellungen an Ihrem MTRoA System sind nicht korrekt. Dies lässt sich sehr einfach lösen.

Sofern keine weiteren, ggf. anderweitigen Probleme vorliegen, sollte sich Ihr MTRoA nun anmelden können.

„The Company Portal cannot connect to Microsoft Intune. This might due to an issue with your network connection.“

Wenn Sie diesen Fehler sehen, handelt es sich sehr häufig um ein Netzwerkthema –
es können Firewall-Settings nicht korrekt sein (Ports) oder der Internetzugang über einen Proxy realisiert werden müssen.

Firewall:
Eine Auflistung der für Microsoft Teams notwendigen Ports, Protokolle und URLs finden Sie unten dem folgenden Link:
Englisch – Office 365 URLs and IP address ranges
Deutsch – Office 365 URLs and IP address ranges
Kontrollieren Sie bitte entsprechend Ihre Firewall-Regeln und ggf. auftretende Packet-Drops.

Hinweis:
Seit dem Release 3.3.2 und der neuen Microsoft Teams UI gelten für Studio X / MTRoA und TC8 als Steuereinheit die gleichen Portanforderungen. Es genügt also nicht, diese Regeln nur für eins der Devices zu definieren. Beide Geräte benötigen im MSFT Teams Mode zwingend Access.

Proxy:
Eins vorweg. Auch wenn es möglich ist die MTRoA Geräte hinter einem Proxy zu betreiben, ist dies nicht Best Practice. Dies bezieht sich auch auf MTRoW (MTRs for Windows).

Öffnen Sie Ihren Webbrowser, rufen Sie die WebUI Ihrer Studio X / Ihres MTRoA auf und loggen Sie sich mit Ihren Admin Credentials ein. Klicken Sie anschliessend links in der Navigation auf „Network“ -> „LAN Network“ und wählen Sie den Reiter „Web Proxy Settings“. Nehmen Sie die Proxy Einstellungen für Ihr Netzwerk vor. Im Screenshot sehen Sie die Settings in meinem Lab als Bezugspunkt.

So oder so ähnlich sollte der erfolgreiche Anmeldevorgang der Unit auf dem Proxy Server Interface aussehen (hier am Beispiel Wingate).

In meinem Fall habe ich dafür eine Regel erstellt, die die beiden Devices (Studio X und TC8) anhand Ihrer festeingestellten IP Adresse „passieren lässt“.

„You cannot access this right now„
„Your sign-in was successful but does not meet the criteria to access this resource. For example, you might be signing in from a browser app or location that is restricted by your admin.“

Hier wird´s tricky. Wenn Sie diese Meldung sehen, dann handelt es sich mit ziemlicher Sicherheit um ein Thema im Microsoft Endpoint Manager (zuvor Intune).

Es könnte z.B. sein, dass Ihr Admin nur eine bestimmte Android Version zugelassen hat und Sie daher Ihre Studio X nicht anmelden können.
Damit die Geräte einwandfrei funktionieren können, geben Sie bitte die Versionen 8.1 (Studio X) und 9 (TC8 Touchcontrol) frei.

Um herauszufinden ob dies der Fall ist, können wir wie folgendermassen vorgehen:

Rufen Sie https://portal.azure.com auf und loggen Sie sich als Admin ein. Klicken Sie auf „All Services“ und wählen Sie „All Users (Preview)“.

Wählen Sie den MTRoA Account aus und klicken Sie links auf „Sign-Ins“. Klicken Sie die Fehlermeldung an.

In der folgenden Anzeige sehen Sie, dass es sich um ein Blocking aufgrund der „Conditional Access Policies“ handelt.

Wenn Sie den Reiter „Conditional Access“ anklicken, wird Ihnen unter „Policy Name“ auch direkt die „zuständige“ Richtlinie angezeigt. Durch Klick darauf sehen Sie sogar die entsprechenden „Matches“, die es nun anzupassen gilt.

Navigieren Sie in Ihrem Browser zu „https://endpoint.microsoft.com/“ (Admin Rechte erforderlich) und klicken Sie links in der Navigation auf Devices.

Klicken Sie anschliessend auf „Android“ -> „Compliance Policies“ und wählen Sie die Regel aus, die Ihrer Meinung nach zu Problemen führt. In meinem Beispiel ist dies sehr simpel, da ich nur die Default Android Policy im System habe.

Klicken Sie links auf „Properties“.

Im nachfolgenden Fenster bekommen Sie eine direkte Übersicht über die Einstellungen.
In meinem Fall sind dies sogar 3 verschiedene Bereiche:

• Die Minimum OS Version – hier mit „11“ konfiguriert (8.1 wäre korrekt)
• die Device Threat Level Settings (sollten hier abgeschaltet sein) und
• das Blocking von „rooted Devices“ (bis zur Version 3.4 der Studio X wird das TC8 als „rooted“ erkannt)

Ändern Sie die Werte entsprechend so ab, dass sie notwendige Anmeldung nicht mehr blockieren.

Ihr Device meldet sich immer wieder ab / kann sich nicht anmelden

In seltenen Fällen kann es vorkommen, dass die maximale Anzahl von Geräten pro User (Sign-ins) im Azure Active Directory überschritten ist (im Default „20“ oder „50“)und es dadurch zu Problemen kommt.
Um dies zu kontrollieren oder das Problem zu beheben, rufen Sie bitte die URL https://portal.azure.com in Ihrem Browser auf und loggen Sie sich mit Ihren Admin Credentials ein.

Geben Sie im Suchfeld „Active Directory“ ein und wählen Sie das entsprechende Suchergebnis durch Klick aus.

Klicken Sie auf „Devices“ und anschliessend auf „Device Settings“

Im neuen Fenster sehen Sie nun einige interessante Settings, unter anderem „Maximum number of devices per user“. Bislang war dieses Setting auf „20“ voreingestellt (Default und empfohlen), in meinem heute morgen neu generierten Demo Tenant stand der Wert allerdings auf „50“. Bitte kontrollieren Sie eingestellte Anzahl von Geräten (Sign-ins)- häufig wird dieser Wert durch den Admin sehr niedrig konfiguriert – und ändern Sie diesen ggf. nach ob ab.

Hinweis am Rande:
Auf der gleichen Seite können Sie auch die Multi-Faktor Authentifizierung für diesen Endpunkt ausschalten. Das Setting gilt dann nur für das Device – ein User müsste sich immer noch 2mal authetifizieren. Die MTRoA Geräte unterstützen zwar die MFA-Funktion, bei MTRfW ist dies allerdings nicht der Fall. Vielleicht also bei einer anderen Installation einmal ein wertvoller Tipp.

Fehler  „AADSTS50199“

Eine weitere Fehlerquelle können Intune, respektive Conditional Access Policies sein.
Wenn Sie auf den Fehler  „AADSTS50199“ treffen, lesen Sie bitte hier weiter:
https://aitsc.de/blog/mtroa-anmeldeprobleme-aadsts50199/
Aufgrund des umfangreichen Troubleshootings habe ich hierzu einen separaten Beitrag erstellt.

Poly Endpunkt erscheint nicht im Teams Admin Center

Der Admin Agent auf den Endpunkten „merkt sich“ einen konfigurierten Account und behält diese Informationen bis zu einem Factory Reset. Sollten Sie die Maschine also bereits an einem anderen Tenant genutzt haben (z.B. zum Test vor der Auslieferung), dann kann es passieren, dass sich der „User Agent“ zwar anmeldet und der Endpunkt ansich funktioniert, das Device aber nicht im TAC erscheint. Resetten Sie das Device um das Problem zu lösen.
Reset Anleitung: https://aitsc.de/blog/studiox-reset-factory/

…to be continued