"Benutzer dürfen ihre Geräte für Azure AD registrieren" in der AAD-Verwaltung ausgegraut / nicht verfügbar

Um zu verhindern, dass ein Benutzer sein Windows-Gerät automatisch in Azure-AD registriert, wenn er Teams installiert, kann man im Azure Portal festlegen, dass Benutzer Geräte nicht selber registrieren dürfen. Wenn Sie die mobile Geräteverwaltung in Office 365 oder Intune aktiviert haben, ist der Button aber ausgegraut. 

Um den Button zu aktivieren, müssen Sie die mobile Geräteverwaltung deaktivieren - Intune funktioniert also nicht ohne die Benutzerregistrierung! Prüfen Sie hierzu zuerst in den Azure-AD Einstellungen unter "Mobilität (MDM und MAM)", ob die automatische Intune-Registrierung aktiviert und deaktivieren sie gegebenenfalls. Hierzu wählen Sie "MIcrosoft Intune" aus und stellen die Einstellung "MDM-Benutzerbereich" auf "Kein".

 Eventuell dauert es bis zu einigen Stunden, bis die Einstellung synchronisiert ist. Sollte die Registrierung danach immer noch ausgegraut sein, hilft Ihnen Powershell mit der Deaktivierung des Intune-Service-Principals. Denken Sie aber daran, dass Sie die Intune-Funktionalität damit komplett deaktivieren!

Connect-AzureAD
Get-AzureADServicePrincipal -Filter "DisplayName eq 'Microsoft Intune'" | Set-AzureADServicePrincipal -AccountEnabled $false