Cloud Lösungen für KMU | VistaSys AG

Menü
Remote-Support
Von /

Windows 11 Update Januar 2026: Anmeldeprobleme mit Azure Virtual Desktop

Ursache, Auswirkungen und Behebung mit Microsoft Intune

Im Januar 2026 hat Microsoft das kumulative Sicherheitsupdate KB5074109 für Windows 11 veröffentlicht. Kurz nach der Installation traten bei zahlreichen Unternehmen kritische Authentifizierungsprobleme im Zusammenhang mit Azure Virtual Desktop (AVD) und Windows 365 auf.

Besonders betroffen waren Benutzer, die sich über die Windows App per Remote Desktop anmelden wollten. In diesem Beitrag zeigen wir auf, was genau das Problem war, welche Systeme betroffen sind und wie sich die Störung mit Microsoft Intune sauber beheben lässt. Abschliessend geben wir ein Fazit, wie sich ähnliche Situationen in Zukunft vermeiden lassen.

Was war das konkrete Problem?

Nach Installation des Sicherheitsupdates KB5074109 kam es bei bestimmten Windows-Builds zu Fehlern im Credential Prompt der Windows App.

Typische Symptome waren:

  • Wiederholte oder fehlerhafte Anmeldeaufforderungen

  • Fehlgeschlagene Authentifizierung bei Azure Virtual Desktop

  • Anmeldung über die Windows App nicht mehr möglich

  • Zugriff nur noch über den Webclient möglich

Microsoft bestätigte, dass es sich um eine Inkompatibilität zwischen dem Update und bestimmten Windows-Versionen handelt. Die Analyse erfolgte gemeinsam durch die Windows Update– und Azure Virtual Desktop-Teams.

AVD Fehlermeldung
Fehlermeldung beim Verbinden zu AVD & Windows 365

Welche Plattformen waren betroffen?

Client-Betriebssysteme

  • Windows 11 Version 25H2, 24H2 und 23H2

  • Windows 10 Version 22H2 &  Enterprise LTSC 2019

Server-Betriebssysteme

  • Windows Server 2025

  • Windows Server 2022

  • Windows Server 2019

Gerade in Intune-Umgebungen mit automatischen Windows Updates führte dies zu produktiven Ausfällen.

Microsofts kurzfristige Lösung: Known Issue Rollback (KIR)

Um die Auswirkungen schnell zu minimieren, stellte Microsoft eine Known Issue Rollback (KIR)-Massnahme zur Verfügung.

KIR ermöglicht es, problematische Codeänderungen eines Updates rückgängig zu machen, ohne das gesamte Update deinstallieren zu müssen. Die Umsetzung erfolgt über eine spezielle Gruppenrichtlinie, welche Microsoft als ADMX-Paket bereitstellt.

Behebung mit Microsoft Intune (empfohlener Weg)

In modern verwalteten Umgebungen ohne klassisches Active Directory lässt sich KIR direkt über Microsoft Intune ausrollen.

Schritt 1: KIR ADMX-Dateien herunterladen

Microsoft stellt für jede betroffene Windows-Version ein eigenes KIR MSI-Paket zur Verfügung. Nach der Installation stehen die benötigten ADMX-Dateien zur Verfügung.

  • Windows Server 2022: KB5073457 – 260114_08551 Known Issue Rollback: Microsoft Link

  • Windows Server 2025: KB507339 – 260114_07301 Known Issue Rollback: Microsoft Link

  • Windows Server 2019 / Windows 10 LTSC 2019: KB5073723 – 20260114_08201 Known Issue Rollback: Microsoft Link

  • Windows 11 Version 25H2 und 24H2: KB5074109 – 260114_07451 Known Issue Rollback: Microsoft Link

  • Windows 11 Version 23H2: KB5073455 – 260114_09101 Known Issue Rollback: Microsoft Link

  • Windows 10 Version 22H2: KB5073724 – 20260114_11451 Known Issue Rollback: Microsoft Link

 

Die benötigten ADMX- und ADML-Dateien sind nach der Installation des MSI-Pakets unter folgendem Pfad verfügbar:

  • ADMX: C:\Windows\PolicyDefinitions 
  • ADML: C:\Windows\PolicyDefinitions\en-US (je nach Sprache)

Schritt 2: ADMX in Intune importieren

  • Intune Admin Center

  • Devices > Configuration

  • Import ADMX > Import

  • Danach die ADMX und ADML-Datei hochladen

Intune ADMX / ADML Import
Auszug aus dem Intune Admin Center

Das Windows.admx (1) muss zuerst importiert werden, da es die grundlegenden Richtliniendefinitionen enthält, auf welche das KIR-ADMX referenziert. Ohne diese Abhängigkeit kann die KIR-Richtlinie von Microsoft Intune nicht korrekt verarbeitet werden. Die Datei kann ebenfalls über folgenden Microsoft-Link heruntergeladen werden:

Das KBxxxxx_xxxx_xxx_x_KnownIssueRollback.admx (2) kann nun ebenfalls importiert werden.

Schritt 3: KIR Richtlinie aktivieren

Nach dem Import steht die KIR-Richtlinie als konfigurierbare Einstellung in Microsoft Intune zur Verfügung und kann gezielt aktiviert werden.

  1. Policies –> New policy

  2. Windows 10 and later –> Templates –> Imported Administrative Templates
  3. KB5074109 – 260114_07451 Known Issue Rollback auswählen
  4. Richtlinie auf Disable setzen

Durch das Deaktivieren dieser Richtlinie werden die betroffenen Änderungen des Updates rückgängig gemacht (Known Issue Rollback).

Intune - KIR Policy Configuration
Rückgängigmachen des fehlerhaften Update-Codes mittels Known Issue Rollback (KIR).

Schritt 4: Neustart der Endgeräte

Ein Reboot ist zwingend erforderlich, damit die KIR-Massnahme wirksam wird.

Alternative (temporär)

Falls KIR noch nicht ausgerollt ist:

Warum ist das besonders kritisch in AVD-Umgebungen?

Azure Virtual Desktop ist stark von:

  • funktionierender Benutzeranmeldung
  • stabilen Client-Updates
  • sauberem Credential Handling

abhängig. Ein fehlerhaftes Client-Update kann sofort produktive Arbeitsplätze lahmlegen, selbst wenn die AVD-Infrastruktur selbst stabil läuft.

Fazit: Wie lassen sich solche Probleme künftig vermeiden?

Ganz verhindern lassen sich solche Incidents nicht, aber sie lassen sich massiv entschärfen:

Best Practices

  • Windows Updates zeitverzögert ausrollen (Ring-Modell)

  • Intune Update Rings sauber konfigurieren

  • Notfall-Skripte für Update-Deinstallation vorbereiten

  • KIR-Prozess kennen und technisch vorbereitet sein

👉 Unser Fazit

Dieser Case zeigt einmal mehr, wie wichtig ein kontrolliertes Patchmanagement und eine moderne Endpoint-Verwaltung mit Intune sind. Unternehmen, die Updates unkontrolliert ausrollen, riskieren produktive Ausfälle – insbesondere in Cloud-Desktop-Szenarien wie Azure Virtual Desktop.

Nachtrag: Offizieller Patch zur Behebung von KB5074109 verfügbar

Microsoft hat zwischenzeitlich einen offiziellen Patch (Out-of-Band Update) veröffentlicht, der die beschriebenen Anmelde- und Remotedesktop-Probleme nach KB5074109 dauerhaft behebt. In einem separaten Follow-up-Beitrag erklären wir detailliert, wie Sie diesen Patch erhalten und über WSUS, Microsoft Intune oder manuell installieren, insbesondere auch dann, wenn der Known Issue Rollback (KIR) abgelöst oder nicht eingesetzt werden soll. 👉 Zum Follow-up-Beitrag: Patch für KB5074109 installieren und verteilen

 

Ähnliche Beiträge

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen