Geräte sind der neue Sicherheits-Perimeter. Egal ob Firmenlaptop oder privates Smartphone (BYOD), sobald ein Gerät auf deine Daten zugreift, muss es verwaltet sein. Eine saubere Geräteverwaltung in Entra ID ist damit direkt eine Frage der Sicherheit und der DSGVO-Konformität.
In diesem Bereich härtest du den Beitritt von Geräten und verhinderst, dass Benutzer versehentlich zu vollen Administratoren auf ihren PCs werden.
1. Geräteeinstellungen
Hier entscheidest du, wer überhaupt Geräte in deinen Tenant bringen darf und welche Rechte diese Benutzer erhalten.
Pfad: Identität > Geräte > Alle Geräte > Geräteeinstellungen
Beitritt und Registrierung
Microsoft unterscheidet zwischen Verknüpfen (Join, meist Firmen-PCs) und Registrieren (Register, meist BYOD und Privatgeräte).
- Benutzer können Geräte mit Microsoft Entra verknüpfen: Ausgewählt oder Keine. Beschränke das vollständige Einbinden von Firmen-PCs auf IT-Personal oder definierte Deployment-User, weil sonst unkontrolliert Geräte in den Tenant wandern.
- Benutzer können ihre Geräte bei Microsoft Entra registrieren: Alle (für BYOD) oder Keine. Das erlaubt Nutzern, private Geräte bekannt zu machen, etwa um Zugriff auf M365-Apps zu erhalten.
- Maximale Anzahl von Geräten pro Benutzer: 10 oder weniger. Ein Limit verhindert Geräte-Hoarding und zwingt zum Aufräumen alter Geräte. Für strenge Umgebungen sind 3 bis 5 üblich.
Die drei Beitrittsarten unterscheiden sich grundlegend in der Frage, ob ein lokales Active Directory im Spiel ist und wem das Gerät gehört. Diese Tabelle ordnet das ein:
| Beitrittsart | Lokales AD nötig | Cloud-Anbindung (Entra) | Typischer Einsatz und Besitz | Registrierungsweg |
| Microsoft Entra Registered | Nein | Ja, registriert | Privates Gerät (BYOD) | Anmeldung in M365-Apps, Unternehmensportal, Drittanbieter-Authentifizierung |
| Microsoft Entra Joined | Nein | Ja, vollständig verbunden | Unternehmensgerät, cloud-only Organisation | Windows Autopilot oder manueller Entra Join |
| Microsoft Entra Hybrid Joined | Ja | Ja, zusätzlich zum lokalen AD | Unternehmensgerät in hybrider Infrastruktur | Autopilot oder lokale GPO, Sync über Entra Connect |
Zwei Stolpersteine, die du kennen solltest: Die Einstellung "Benutzer können Geräte verknüpfen" und das Gerätelimit gelten nur für Entra Joined und Entra Registered, nicht für Hybrid Joined. Hybride Geräte steuerst du über das lokale AD und Entra Connect.
Sicherheit: MFA und lokale Admins
Hier liegen die kritischsten Schalter für deine Endpunkte.
- Multifaktor-Authentifizierung zum Registrieren oder Verknüpfen erforderlich: Nein, wenn du Bedingten Zugriff nutzt. Microsoft empfiehlt, diesen Schalter auf Nein zu lassen und MFA über eine Conditional-Access-Richtlinie zu erzwingen, weil die granular steuerbar ist und nicht jedes Registrierungsszenario gleich behandelt.
- Registrierender Benutzer wird bei Microsoft Entra Join als lokaler Administrator hinzugefügt: Keine. Setzt du hier Alle, wird jeder Nutzer lokaler Admin auf dem Gerät, das er selbst einbindet. Das ist ein Einfallstor für Malware. Wähle Keine, um das Prinzip der geringsten Rechte durchzusetzen. Wichtig zur Einordnung: Dieser Schalter vergibt ausschließlich lokale Windows-Adminrechte auf dem jeweils beigetretenen Gerät, kein Verzeichnisrecht und keine tenantweite Rolle. Die Auswertung läuft über das Primary Refresh Token bei der Anmeldung.
- Globale-Administrator-Rolle wird bei Microsoft Entra Join als lokaler Administrator hinzugefügt: Nein. Lässt du das aktiv, wird jeder Inhaber der Rolle Globaler Administrator automatisch lokaler Admin auf jedem beigetretenen Gerät. Genau das willst du im Sinne der geringsten Rechte vermeiden.
- Lokale Microsoft Entra-Administratorkennwortlösung (LAPS) aktivieren: Ja. Schaltet die moderne Verwaltung lokaler Admin-Passwörter frei (siehe Punkt 4).
Hinweis zur Lizenz: Die granulare Steuerung der beiden Local-Admin-Schalter (registrierender Benutzer, Globale-Administrator-Rolle) weist Microsoft als P1- oder P2-Funktion aus. Ohne diese Lizenz greift das frühere Standardverhalten, bei dem der beitretende Benutzer automatisch lokaler Admin wird.
2. Enterprise State Roaming
Dieser Dienst synchronisiert Benutzereinstellungen wie Spracheinstellungen, Designs oder gespeicherte Anmeldedaten über mehrere Windows-Geräte hinweg in die Cloud.
Pfad: Identität > Geräte > Alle Geräte > Enterprise State Roaming
Benutzer können Einstellungen und App-Daten geräteübergreifend synchronisieren: Kein oder Ausgewählt.
Aus DSGVO-Sicht ist hier Vorsicht geboten. Oft ist nicht gewünscht, dass Unternehmensdaten wie App-Listen oder gespeicherte Anmeldedaten auf private, lediglich registrierte Geräte synchronisiert werden. Im Zweifel deaktivierst du den Dienst oder beschränkst ihn auf eine ausgewählte Gruppe.
3. BitLocker keys
Das ist kein Einstellungsmenü, sondern dein Notfall-Werkzeug. Wenn ein Benutzer seinen BitLocker-PIN vergisst oder die Hardware sperrt, findest du hier den Wiederherstellungsschlüssel.
Pfad:Identität > Geräte > Alle Geräte > BitLocker keys
Du suchst hier nicht nach dem Computernamen, sondern nach der Schlüssel-ID (Key ID), die der gesperrte Nutzer auf seinem blauen BitLocker-Bildschirm angezeigt bekommt. Ob Benutzer ihre Schlüssel selbst im My-Account-Portal abrufen dürfen, steuerst du in den Geräteeinstellungen unter Punkt 1 (Bereich "Sonstige Einstellungen").
4. Wiederherstellung des lokalen Administratorkennworts
Hast du unter Punkt 1 LAPS aktiviert, greifst du hier als Admin zu. LAPS (Local Administrator Password Solution) rotiert das lokale Admin-Passwort auf Windows-Geräten automatisch und speichert es sicher in Entra ID.
Pfad: Identität > Geräte > Alle Geräte > Wiederherstellung des lokalen Administratorkennworts
Brauchst du physischen oder per Remote-Tool erhöhten Zugriff auf ein Gerät, liest du hier das aktuelle Kennwort des lokalen Admin-Kontos aus. Der Sicherheitsgewinn ist konkret: Es gibt kein statisches, überall identisches Admin-Passwort mehr (das berüchtigte "Sommer2025!"), mit dem ein Angreifer sich nach einer Kompromittierung seitlich durch das Netzwerk bewegt (Lateral Movement).
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.