Verwalten von Geräteidentitäten über das Microsoft Entra Admin Center

Microsoft Entra ID bietet Ihnen eine Zentrale zum Verwalten von Geräteidentitäten und zum Überwachen zugehöriger Ereignisinformationen.

Screenshot that shows the devices overview.

Sie können auf die Geräteübersicht zugreifen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als ein Globaler Leser an.
  2. Wechseln Sie zu Identität>Geräte>Übersicht.

In der Geräteübersicht finden Sie die Gesamtzahl aller Geräte, veraltete Geräte, nicht kompatible Geräte und nicht verwaltete Geräte. Dort finden Sie auch Links zu Intune, zum bedingten Zugriff, zu BitLocker-Schlüsseln und grundlegenden Überwachungsfunktionen.

Die Geräteanzahl auf der Übersichtsseite wird nicht in Echtzeit aktualisiert. Änderungen sollten innerhalb von ein paar Stunden widergespiegelt werden.

Von hier aus können Sie zu Alle Geräte wechseln, um folgende Aktivitäten auszuführen:

  • Identifizieren von Geräten, einschließlich der folgenden:
    • Geräte, die in Microsoft Entra ID eingebunden oder registriert wurden.
    • Geräte, die mithilfe von Windows Autopilot bereitgestellt wurden
    • Drucker, die Universal Print verwenden
  • Ausführen von Aufgaben zur Verwaltung von Geräteidentitäten (z. B. Aktivieren, Deaktivieren, Löschen und Verwalten)
    • Die Optionen zur Verwaltung von Druckern und Windows Autopilot sind in Microsoft Entra ID eingeschränkt. Diese Geräte müssen über die entsprechenden Verwaltungsoberflächen verwaltet werden.
  • Konfigurieren Sie Ihre Geräteidentitätseinstellungen.
  • Aktivieren oder Deaktivieren von Enterprise State Roaming
  • Überprüfen gerätebezogener Überwachungsprotokolle
  • Herunterladen von Geräten.

Screenshot that shows the All devices view.

Tipp

  • Mit hybrid in Microsoft Entra eingebundene Windows 10-Geräte oder neuere Geräten haben keinen Besitzer, es sei denn, der*die primäre Benutzer*in ist in Microsoft Intune festgelegt. Wenn Sie ein Gerät nach Besitzer suchen und es nicht finden, suchen Sie nach der Geräte-ID.

  • Wenn in der Spalte Registriert ein Gerät mit dem Zusatz Hybrid in Microsoft Entra eingebunden und dem Status Ausstehend angezeigt wird, deutet das an, dass das Gerät von Microsoft Entra Connect synchronisiert wurde und auf die vollständige Registrierung vom Client wartet. Siehe Planen Ihrer Microsoft Entra-Hybridbeitritt-Implementierung. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Geräteverwaltung.

  • Bei einigen iOS-Geräten werden in Gerätenamen, die Apostrophzeichen enthalten, möglicherweise andere Zeichen verwendet, die wie ein Apostroph aussehen. Die Suche nach solchen Geräten ist also etwas kompliziert. Wenn keine korrekten Suchergebnisse angezeigt werden, stellen Sie sicher, dass die Suchzeichenfolge das passende Apostrophzeichen enthält.

Verwalten eines Intune-Geräts

Wenn Sie über Rechte zum Verwalten von Geräten in Intune verfügen, können Sie Geräte verwalten, bei denen Microsoft Intune für die Verwaltung mobiler Geräte aufgeführt ist. Ist das Gerät nicht bei Microsoft Intune registriert, ist die Option Verwalten nicht verfügbar.

Aktivieren oder Deaktivieren eines Microsoft Entra Geräts

Es gibt zwei Möglichkeiten, Geräte zu aktivieren oder zu deaktivieren:

  • Die Symbolleiste auf der Seite Alle Geräte, nachdem Sie ein oder mehrere Geräte ausgewählt haben
  • Die Symbolleiste nach dem Drilldown für ein bestimmtes Gerät

Wichtig

  • Zum Aktivieren oder Deaktivieren eines Geräts müssen Sie ein globaler Administrator, ein Intune-Administrator oder ein Cloudgeräte-Administrator in Microsoft Entra ID sein.
  • Durch das Deaktivieren eines Geräts wird die Authentifizierung über Microsoft Entra ID verhindert. Dadurch kann es nicht mehr auf Ihre Microsoft Entra-Ressourcen zugreifen, die durch den gerätebasierten bedingten Zugriff geschützt sind, und es kann keine Windows Hello for Business-Anmeldeinformationen mehr verwenden.
  • Durch das Deaktivieren eines Geräts werden sowohl das primäre Aktualisierungstoken (Primary Refresh Token, PRT) als auch etwaige Aktualisierungstoken (Refresh Tokens, RT) auf dem Gerät widerrufen.
  • Drucker können in Microsoft Entra ID nicht aktiviert oder deaktiviert werden.

Löschen eines Microsoft Entra-Geräts

Es gibt zwei Möglichkeiten, ein Gerät zu löschen:

  • Die Symbolleiste auf der Seite Alle Geräte, nachdem Sie ein oder mehrere Geräte ausgewählt haben
  • Die Symbolleiste nach dem Drilldown für ein bestimmtes Gerät

Wichtig

  • Zum Löschen eines Geräts müssen Sie ein Cloudgeräte-Administrator, Intune-Administrator, Windows 365-Administrator oder globaler Administrator in Microsoft Entra ID sein.
  • Drucker können in Microsoft Entra ID erst gelöscht werden, nachdem sie aus Universal Print gelöscht wurden.
  • Windows Autopilot-Geräte können in Microsoft Entra ID erst gelöscht werden, nachdem sie aus Intune gelöscht wurden.
  • Das Löschen eines Geräts:
    • Verhindert, dass über das Gerät auf Ihre Microsoft Entra-Ressourcen zugegriffen wird.
    • entfernt alle Details, die an das Gerät angefügt sind (z. B. BitLocker-Schlüssel bei Windows-Geräten)
    • ist eine nicht wiederherstellbare Aktivität wird nur empfohlen, wenn dies erforderlich ist

Wenn ein Gerät in einer anderen Verwaltungsautorität wie Microsoft Intune verwaltet wird, stellen Sie sicher, dass es zurückgesetzt wurde oder nicht mehr verwendet wird, bevor Sie es löschen. Informieren Sie sich über das Verwalten veralteter Geräte, bevor Sie ein Gerät löschen.

Anzeigen oder Kopieren einer Geräte-ID

Mithilfe einer Geräte-ID können Sie Gerätedetails am Gerät überprüfen oder über PowerShell eine Problembehandlung vornehmen. Um auf die Kopieroption zuzugreifen, wählen Sie das Gerät aus.

Screenshot that shows a device ID and the copy button.

Anzeigen oder Kopieren von BitLocker-Schlüsseln

Sie können die BitLocker-Schlüssel anzeigen und kopieren, um Benutzern die Wiederherstellung verschlüsselter Laufwerke zu ermöglichen. Diese Schlüssel sind nur für Windows-Geräte verfügbar, die verschlüsselt sind und deren Schlüssel in Microsoft Entra ID gespeichert sind. Sie finden diese Schlüssel beim Zugriff auf die Details eines Geräts, indem Sie Wiederherstellungsschlüssel anzeigen auswählen. Wenn Sie Wiederherstellungsschlüssel anzeigen auswählen, wird ein Überwachungsprotokolleintrag generiert, den Sie in der Kategorie KeyManagement finden.

Screenshot that shows how to view BitLocker keys.

Um die BitLocker-Schlüssel anzuzeigen oder zu kopieren, müssen Sie Besitzer des Geräts sein oder über eine der folgenden Rollen verfügen:

  • Cloudgeräteadministrator
  • Globaler Administrator
  • Helpdeskadministrator
  • Intune-Dienstadministrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Hinweis

Wenn Geräte, die Windows Autopilot verwenden, wiederverwendet werden und es neue Gerätebesitzer*innen gibt, müssen sich diese neuen Gerätebesitzer*innen an Administrator*innen wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erhalten. Administrator*innen für bestimmte Verwaltungseinheiten verlieren den Zugriff auf BitLocker-Wiederherstellungsschlüssel, nachdem sich der Besitz des Geräts geändert hat. Diese bereichsbezogenen Administrator*innen müssen sich für die Wiederherstellungsschlüssel an nicht bereichsbezogene Administrator*innen wenden.

Anzeigen und Filtern Ihrer Geräte (Vorschau)

Sie können die Geräteliste nach den folgenden Geräteattributen filtern:

  • Aktivierungszustand
  • Konformitätszustand
  • Jointyp (Microsoft Entra eingebunden, Microsoft Entra hybrid eingebunden, Microsoft Entra registriert)
  • Aktivitätszeitstempel
  • Betriebssystemtyp und Betriebssystemversion
  • Gerätetyp (Drucker, sicherer virtueller Computer, freigegebenes Gerät, registriertes Gerät)
  • MDM
  • Autopilot
  • Erweiterungsattribute
  • Verwaltungseinheit
  • Besitzer

Herunterladen von Geräten

Globale Leser, Cloudgeräteadministratoren, Intune-Administratoren und globale Administratoren können mithilfe der Option Geräte herunterladen eine CSV-Datei exportieren, in der Geräte aufgelistet sind. Sie können Filter anwenden, um zu bestimmen, welche Geräte aufgelistet werden sollen. Wenn Sie keine Filter anwenden, werden alle Geräte aufgelistet. Abhängig von Ihrer Auswahl kann das Ausführen einer Exportaufgabe bis zu einer Stunde dauern. Wenn die Exportaufgabe länger als 1 Stunde dauert, wird sie nicht abgeschlossen, und es wird keine Datei ausgegeben.

Die exportierte Liste enthält die folgenden Geräteidentitätsattribute:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Die folgenden Filter können für den Exportvorgang angewendet werden:

  • Aktivierungszustand
  • Konformitätszustand
  • Join-Typ
  • Aktivitätszeitstempel
  • Betriebssystemtyp
  • Gerätetyp

Konfigurieren von Geräteeinstellungen

Wenn Sie Geräteidentitäten im Microsoft Entra Admin Center verwalten möchten, müssen diese in Microsoft Entra ID registriert oder eingebunden sein. Als Administrator können Sie den Prozess der Registrierung und Einbindung von Geräten steuern, indem Sie die Geräteeinstellungen konfigurieren.

Ihnen muss eine der folgenden Rollen zugewiesen sein, um die Geräteeinstellungen anzeigen zu können:

  • Globaler Administrator
  • Globaler Leser
  • Cloudgeräteadministrator
  • Intune-Administrator
  • Windows 365-Administrator
  • Verzeichnisprüfer

Ihnen muss eine der folgenden Rollen zugewiesen sein, um die Geräteeinstellungen verwalten zu können:

  • Globaler Administrator
  • Cloudgeräteadministrator

Screenshot that shows device settings related to Microsoft Entra ID.

  • Benutzer dürfen Geräte in Microsoft Entra ID einbinden: Diese Einstellung ermöglicht Ihnen die Auswahl der Benutzer, die ihre Geräte als in Microsoft Entra eingebundene Geräte registrieren können. Die Standardeinstellung ist Alle.

    Hinweis

    Die Einstellung Benutzer können Geräte mit der Microsoft Entra ID verbinden gilt nur für Microsoft Entra join auf Windows 10 oder neuer. Diese Einstellung gilt nicht für hybrid in Microsoft Entra eingebundene Geräte, in Microsoft Entra eingebundene Azure-VMs oder in Microsoft Entra eingebundene Geräte, die den Selbstbereitstellungsmodus von Windows Autopilot verwenden, da diese Methoden in einem Kontext ohne Benutzer funktionieren.

  • Benutzer dürfen ihre Geräte bei Microsoft Entra ID registrieren: Sie müssen diese Einstellung konfigurieren, um Benutzern die Registrierung von persönlichen Geräten mit Windows 10 oder höher sowie iOS-, Android- und macOS-Geräten bei Microsoft Entra ID zu erlauben. Bei Auswahl von Keine dürfen Geräte nicht bei Microsoft Entra ID registriert werden. Für die Anmeldung bei Microsoft Intune oder die mobile Geräteverwaltung für Microsoft 365 ist eine Registrierung erforderlich. Wenn Sie einen dieser Dienste konfiguriert haben, ist ALLE ausgewählt, und die Option KEINER ist nicht verfügbar.

  • Zum Registrieren oder Einbinden von Geräten in Microsoft Entra ID Multi-Faktor-Authentifizierung anfordern:

    • Wir empfehlen Organisationen, beim bedingten Zugriff die Benutzeraktion Registrieren oder Einbinden von Geräten zu verwenden, um die Multi-Faktor-Authentifizierung zu erzwingen. Sie müssen diesen Umschalter auf Nein festlegen, wenn Sie eine Richtlinie für bedingten Zugriff zum Anfordern einer Multi-Faktor-Authentifizierung nutzen.
    • Mit dieser Einstellung können Sie angeben, ob Benutzer einen zusätzlichen Authentifizierungsfaktor bereitstellen müssen, um ihre Geräte in Microsoft Entra ID einbinden oder bei Microsoft Entra ID registrieren zu können. Der Standardwert ist No. Es wird empfohlen, die mehrstufige Authentifizierung anzufordern, wenn ein Gerät registriert oder eingebunden wird. Bevor Sie die mehrstufige Authentifizierung für diesen Dienst aktivieren, müssen Sie sicherstellen, dass diese auch für die Benutzer konfiguriert ist, die ihre Geräte registrieren. Weitere Informationen zur Microsoft Entra Multi-Faktor-Authentifizierung finden Sie unter Erste Schritte mit der Microsoft Entra-Multi-Faktor-Authentifizierung. Diese Einstellung funktioniert möglicherweise nicht mit anderen Identitätsanbietern.

    Hinweis

    Die Einstellung Mehrstufige Authentifizierung zum Registrieren oder Beitreten von Geräten mit Microsoft Entra ID erforderlich gilt für Geräte, die entweder Microsoft Entra eingebunden sind (mit einigen Ausnahmen) oder Microsoft Entra registriert sind. Diese Einstellung gilt nicht für hybrid in Microsoft Entra eingebundene Geräte, in Microsoft Entra eingebundene Azure-VMs oder in Microsoft Entra eingebundene Geräte, die den Selbstbereitstellungsmodus von Windows Autopilot verwenden.

  • Maximale Anzahl von Geräten: Mit dieser Einstellung können Sie die maximale Anzahl von Microsoft Entra verbundenen oder Microsoft Entra registrierten Geräten auswählen, die ein Benutzer in Microsoft Entra ID besitzen kann. Wenn ein Benutzer dieses Limit erreicht hat, kann er erst dann weitere Geräte hinzufügen, wenn eines oder mehrere der vorhandenen Geräte entfernt wurden. Der Standardwert lautet 50. Sie können den Wert auf bis zu 100 erhöhen. Wenn Sie einen Wert über 100 eingeben, legt Microsoft Entra ID ihn auf 100 fest. Sie können auch Unbegrenzt verwenden, um außer den vorhandenen Kontingentlimits keine Beschränkung zu erzwingen.

    Hinweis

    Die Einstellung Maximale Anzahl von Geräten gilt für Geräte, die entweder Microsoft Entra eingebunden sind oder Microsoft Entra registriert sind. Diese Einstellung gilt nicht für Microsoft Entra hybrid eingebundenen Geräte.

  • Weitere lokale Administratoren für in Microsoft Entra eingebundene Geräte: Mit dieser Einstellung können Sie die Benutzer auswählen, denen lokale Administratorrechte auf einem Gerät erteilt werden. Diese Benutzer werden der Rolle „Geräteadministratoren“ in Microsoft Entra ID hinzugefügt. Globale Administratoren in Microsoft Entra ID und Gerätebesitzer erhalten standardmäßig lokale Administratorrechte. Diese Option ist eine Premium Edition-Funktion, die über Produkte wie Microsoft Entra ID P1 oder P2 und Enterprise Mobility + Security zur Verfügung steht.

  • Aktivieren von Microsoft Entra Local Administrator Password Solution (LAPS) (Vorschau): LAPS ist die Verwaltung lokaler Kontokennwörter auf Windows-Geräten. Mit LAPS können Sie das integrierte lokale Administratorkennwort sicher verwalten und abrufen. Mit der Cloudversion von LAPS können Kunden das Speichern und Rotieren lokaler Administratorkennwörter für Microsoft Entra ID- und Hybrid-Microsoft Entra-Joingeräte aktivieren. Informationen zum Verwalten von LAPS in Microsoft Entra ID finden Sie im Übersichtsartikel.

  • Einschränken der Wiederherstellung der BitLocker-Schlüssel für ihre eigenen Geräte durch Nicht-Administratorbenutzer: Administratoren können den BitLocker-Self-Service-Schlüsselzugriff für den registrierten Besitzer des Geräts blockieren. Standardbenutzer*innen ohne die BitLocker-Leseberechtigung können ihre BitLocker-Schlüssel für ihre eigenen Geräte nicht anzeigen oder kopieren. Sie müssen globaler Administrator oder Administrator privilegierter Rollen sein, um diese Einstellung zu aktualisieren.

  • Enterprise State Roaming: Informationen zu dieser Einstellung finden Sie im Übersichtsartikel.

Überwachungsprotokolle

Geräteaktivitäten werden in den Aktivitätsprotokollen angezeigt. Diese Protokolle enthalten vom Geräteregistrierungsdienst und von Benutzern ausgelöste Aktivitäten:

  • Erstellen von Geräten und Hinzufügen von Besitzern/Benutzern auf dem Gerät
  • Änderungen der Geräteeinstellungen
  • Gerätevorgänge wie beispielsweise das Löschen oder Aktualisieren eines Geräts

Ihr Einstiegspunkt für Überwachungsdaten ist die Option Überwachungsprotokolle im Abschnitt Aktivität auf der Seite Geräte.

Das Überwachungsprotokoll enthält eine Standardlistenansicht mit folgenden Informationen:

  • Datum und Uhrzeit des Auftretens
  • Ziele
  • Initiator/Akteur einer Aktivität
  • Die Aktivität.

Screenshot that shows a table in the Activity section of the Devices page. The table shows the date, target, actor, and activity for four audit logs.

Die Listenansicht kann durch Auswahl von Spalten in der Symbolleiste angepasst werden:

Screenshot that shows the toolbar of the Devices page.

Um die Berichtsdaten auf eine Ebene zu reduzieren, die für Sie funktioniert, können Sie sie mithilfe der folgenden Felder filtern:

  • Kategorie
  • Aktivitätsressourcentyp
  • Aktivität
  • Datumsbereich
  • Target
  • Initiiert von (Akteur)

Sie können auch nach bestimmten Einträgen suchen.

Screenshot that shows audit data filtering controls.

Nächste Schritte