Häufig gestellte Fragen zur Microsoft Entra Geräteverwaltung

Geräte mit Windows 10 oder höher, die in Microsoft Entra eingebundene Hybridgeräte sind, werden nicht unter den Benutzergeräten angezeigt. Verwenden Sie die Ansicht Alle Geräte. Sie können auch das PowerShell-Cmdlet Get-MgDevice verwenden.

Nur die folgenden Geräte werden unter den BENUTZER-Geräten aufgeführt:

• Alle persönlichen Geräte, die keine in Microsoft Entra eingebundenen Hybridgeräte sind.
• Alle Geräte, die nicht mindestens über Windows 10 bzw. mindestens über Windows Server 2016 verfügen
• Alle Geräte ohne Windows.

Wechseln Sie zu Alle Geräte. Suchen Sie für das Gerät anhand der Geräte-ID. Überprüfen Sie den Wert in der Spalte „Jointyp“. Möglicherweise wurde das Gerät zurückgesetzt oder ein Reimaging durchgeführt. Daher ist es wichtig, den Geräteregistrierungsstatus auf dem Gerät zu überprüfen:

• Führen Sie für Geräte mit Windows 10 oder höher und Windows Server 2016 oder höher dsregcmd.exe /status aus.
• Führen Sie für kompatible Betriebssystemversionen %programFiles%\Microsoft Workplace Join\autoworkplace.exe aus.

Informationen zur Problembehandlung finden Sie in diesen Artikeln:

• Problembehandlung von Geräten mit dem Befehl „dsregcmd“
• Problembehandlung bei hybrid in Microsoft Entra eingebundenen Windows 10- und Windows Server 2016-Geräten
• Problembehandlung für hybrid in Microsoft Entra eingebundene Geräte

Windows-Clients rufen das PRT von Microsoft Entra ID ab, wenn der Benutzer und das Gerät demselben Mandanten angehören. Benutzer erhalten keine PRT für einen anderen Mandanten, wenn das Gerät nicht registriert ist oder der Benutzer dort kein Mitglied ist. Wenn die beiden Mandanten einander über B2B vertrauen, können Sie immer mandantenübergreifende B2B-Zugriffs- und Geräteansprüche von Ihrem Basismandanten erstellen.

Der Verknüpfungsstatus des Geräts, der unter deviceID angezeigt wird, muss mit dem Status in Microsoft Entra ID übereinstimmen und alle Bewertungskriterien für bedingten Zugriff erfüllen. Weitere Informationen finden Sie unter Vorschreiben der Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs.

Benutzer erhalten auf Windows 10/11-Geräten, die in Microsoft Entra ID eingebunden oder registriert sind, ein primäres Aktualisierungstoken (Primary Refresh Token, PRT), das das einmalige Anmelden ermöglicht. Die Gültigkeit des PRT basiert auf der Gültigkeit des Geräts selbst. Benutzern wird diese Meldung angezeigt, wenn das Gerät in Microsoft Entra ID entweder gelöscht oder deaktiviert wurde, ohne dass die Aktion vom Gerät selbst initiiert wurde. Ein Gerät kann in einem der folgenden Szenarien in Microsoft Entra gelöscht oder deaktiviert werden:

• Der Benutzer deaktiviert das Gerät im Meine Apps-Portal.
• Ein*e Administrator*in (oder Benutzer*in) löscht oder deaktiviert das Gerät.
• Nur in Microsoft Entra Hybrid eingebundene Geräte: Ein Administrator entfernt die Geräte-OE aus dem Synchronisierungsbereich, was dazu führt, dass die Geräte aus Microsoft Entra ID gelöscht werden.
• Nur in Microsoft EntraHybrid eingebunden: Ein Administrator deaktiviert das lokale Computerkonto, was dazu führt, dass das Gerät in Microsoft Entra ID deaktiviert wird.
• Aktualisieren von Microsoft Entra Connect auf Version 1.4.xx.x. Grundlegendes zu Microsoft Entra Connect 1.4.xx.x und zum Verschwinden von Geräten.

Dieser Vorgang ist von vornherein vorgesehen. In diesem Fall hat das Gerät keinen Zugriff auf Ressourcen in der Cloud. Administratoren können diese Aktion für veraltete, verlorene oder gestohlene Geräte ausführen, um nicht autorisierten Zugriff zu verhindern. Wenn diese Aktion unbeabsichtigt ausgeführt wurde, müssen Sie das Gerät mit den folgenden Schritten erneut aktivieren oder registrieren:

• Wenn das Gerät in Microsoft Entra ID deaktiviert wurde, kann ein*e Administrator*in mit ausreichenden Berechtigungen es über das Microsoft Entra Admin Center wieder aktivieren.

  Hinweis

  Wenn Sie Geräte mithilfe von Microsoft Entra Connect synchronisieren, werden in Microsoft Entra hybrid eingebundene Geräte beim nächsten Synchronisierungszyklus automatisch erneut aktiviert. Wenn Sie ein in Microsoft Entra hybrid eingebundenes Gerät deaktivieren möchten, müssen Sie es daher in der lokalen AD-Instanz deaktivieren.

• Wenn das Gerät in Microsoft Entra ID gelöscht wurde, müssen Sie es neu registrieren. Zur erneuten Registrierung müssen Sie eine manuelle Aktion auf dem Gerät durchführen. Anweisungen zum erneuten Registrieren basierend auf dem Gerätestatus finden Sie in den folgenden Schritten.

  Um in Microsoft Entra hybrid eingebundene Windows 10/11- und Windows Server 2016/2019-Geräte erneut zu registrieren, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Eingabeaufforderung als Administrator.
  2. Geben Sie dsregcmd.exe /debug /leave ein.
  3. Melden Sie sich ab und erneut an, um den geplanten Task auszulösen, der das Gerät erneut in Microsoft Entra ID registriert.

  Gehen Sie bei kompatiblen Windows-Betriebssystemversionen, die in Microsoft Entra hybrid eingebunden sind, folgendermaßen vor:

  1. Öffnen Sie die Eingabeaufforderung als Administrator.
  2. Geben Sie "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l" ein.
  3. Geben Sie "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j" ein.

  Gehen Sie bei in Microsoft Entra eingebundenen Windows 10/11-Geräten folgendermaßen vor:

  1. Öffnen Sie die Eingabeaufforderung als Administrator.
  2. Geben Sie dsregcmd /forcerecovery ein (Sie müssen Administrator sein, um diese Aktion auszuführen).
  3. Klicken Sie im angezeigten Dialogfeld auf „Anmelden“, und fahren Sie mit dem Anmeldevorgang fort.
  4. Melden Sie sich vom Gerät ab, und melden Sie sich erneut an, um die Wiederherstellung abzuschließen.

  Führen Sie für Microsoft Entra registrierte Windows 10/11-Geräte die folgenden Schritte aus:

  1. Wechseln Sie zu Einstellungen>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen.
  2. Wählen Sie das Konto aus, und klicken Sie auf Trennen.
  3. Klicken Sie auf „+ Verbinden“, und registrieren Sie das Gerät erneut, indem Sie den Anmeldevorgang durchlaufen.

• Wenn unter Windows 10 oder höher und Windows Server 2016 oder höher wiederholt versucht wird, dasselbe Gerät zu entfernen und erneut hinzuzufügen, können doppelte Einträge auftreten.
• Jeder Windows-Benutzer, der Geschäfts-, Schul- oder Unikonto hinzufügen verwendet, erstellt einen neuen Gerätedatensatz mit demselben Gerätenamen.
• Für kompatible Windows-Versionen, die über die automatische Registrierung in die lokale Active Directory-Domäne eingebunden sind, wird ein neuer Gerätedatensatz mit demselben Gerätenamen für jeden Domänenbenutzer erstellt, der sich beim Gerät anmeldet.
• Ein in Microsoft Entra eingebundener Computer, der gelöscht, neu installiert und mit demselben Namen wieder eingebunden wurde, wird als anderer Datensatz mit demselben Gerätenamen angezeigt.

Die Windows 10/11-Geräteregistrierung wird nur für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie es deaktivieren, bevor Sie die mit der Microsoft Entra- oder mit der Microsoft Entra Hybrid-Einbindung fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

Ab dem Zeitpunkt, an dem das Microsoft Entra-Gerät als deaktiviert gekennzeichnet wird, dauert es bis zu einer Stunde, bis ein Widerruf angewendet wird.

Microsoft Entra ID wurde Unterstützung für mehrere Microsoft Entra-Konten hinzugefügt, beginnend mit Windows 10 Release 1803. Unter Windows 10/11 ist jedoch die Anzahl von Microsoft Entra-Konten auf einem Gerät auf drei Konten beschränkt, um die Größe von Tokenanforderungen einzuschränken und zuverlässiges einmaliges Anmelden (Single Sign-On, SSO) zu ermöglichen. Sobald drei Konten hinzugefügt wurden, erhalten Benutzer für nachfolgende Konten eine Fehlermeldung. Die zusätzlichen Probleminformationen auf dem Fehlerbildschirm enthalten eine Meldung, die besagt, dass der Vorgang zum Hinzufügen eines Kontos blockiert wurde, weil der Grenzwert erreicht wurde.

Die MS-Organization-Access-Zertifikate werden vom Microsoft Entra Device Registration-Dienst während des Geräteregistrierungsprozesses ausgestellt. Diese Zertifikate werden für alle unter Windows unterstützten Jointypen ausgestellt – Microsoft Entra eingebunden, Microsoft Entra hybrid eingebundenen und Microsoft Entra registrierten Geräten. Nach der Ausstellung werden sie im Rahmen des Authentifizierungsprozesses vom Gerät zum Anfordern eines primären Aktualisierungstokens (Primary Refresh Token, PRT) verwendet. Für in Microsoft Entra eingebundene Geräte und in Microsoft Entra eingebundene Hybridgeräte befindet sich dieses Zertifikat unter „Lokaler Computer\Eigene Zertifikate\Zertifikate“. Für bei Microsoft Entra registrierte Geräte befindet es sich jedoch unter „Aktueller Benutzer\Eigene Zertifikate\Zertifikate“. Alle MS-Organization-Access-Zertifikate haben eine Standardgültigkeitsdauer von zehn Jahren. Diese Zertifikate werden jedoch aus dem entsprechenden Zertifikatspeicher gelöscht, wenn die Registrierung des Geräts bei Microsoft Entra ID aufgehoben wird. Jede unbeabsichtigte Löschung dieses Zertifikats führt zu Authentifizierungsfehlern für den Benutzer und erfordert in solchen Fällen eine erneute Registrierung des Geräts.

Stellen Sie bei ausschließlich in Microsoft Entra eingebundenen Geräten sicher, dass Sie über ein lokales Offlineadministratorkonto verfügen. Sie können sich nicht mit Ihren Microsoft Entra-Anmeldeinformationen anmelden. Navigieren Sie als Nächstes zu Einstellungen>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen. Wählen Sie Ihr Konto aus, und klicken Sie auf Trennen. Befolgen Sie die Anweisungen, und geben Sie die Anmeldeinformationen für den lokalen Administrator an, wenn Sie aufgefordert werden. Starten Sie das Gerät neu, um den Vorgang zur Aufhebung einer Einbindung abzuschließen.

Ja. Windows verfügt über eine Zwischenspeicherfunktion für Benutzernamen und Kennwörter, die es Benutzern, die sich zuvor angemeldet haben, ermöglicht, auch ohne Netzwerkverbindung schnell auf den Desktop zuzugreifen.

Ein in Microsoft Entra ID gelöschtes oder deaktiviertes Gerät wird vom Windows-Gerät nicht erkannt. Benutzer, die sich zuvor angemeldet haben, greifen also weiterhin mit dem im Cache gespeicherten Benutzernamen und Kennwort auf den Desktop zu. Wenn das Gerät gelöscht oder deaktiviert wird, können die Benutzer aber nicht auf Ressourcen zugreifen, die durch den gerätebasierten bedingten Zugriff geschützt sind.

Benutzer, die sich zuvor nicht angemeldet haben, können nicht auf das Gerät zugreifen. Es wurde kein zwischengespeicherter Benutzernamen oder Kennwort für sie aktiviert.

Ja, aber nur für einen begrenzten Zeitraum. Ein in Microsoft Entra ID gelöschter oder deaktivierter Benutzer wird vom Windows-Gerät nicht sofort erkannt. Benutzer, die sich zuvor angemeldet haben, greifen also mit dem im Cache gespeicherten Benutzernamen und Kennwort auf den Desktop zu.

In der Regel ist das Gerät in weniger als vier Stunden über den Benutzerstatus informiert. Dann blockiert Windows den Zugriff dieser Benutzer auf den Desktop. Wie der Benutzer gelöscht oder in Microsoft Entra ID deaktiviert ist, werden alle seine Token widerrufen. Daher kann der Benutzer auf keine Ressourcen mehr zugreifen.

Gelöschte oder deaktivierte Benutzer, die sich zuvor nicht angemeldet haben, können nicht auf das Gerät zugreifen. Es wurde kein zwischengespeicherter Benutzernamen oder Kennwort für sie aktiviert.

Nein. Derzeit können sich Gastbenutzer*innen nicht bei einem in Microsoft Entra eingebundenen Gerät anmelden.

Organisationen können Windows Server Hybrid Cloud Print mit Vorabauthentifizierung oder Universal Print für ihre in Microsoft Entra eingebundenen Geräte bereitstellen.

Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem in Microsoft Entra eingebundenen Remote-PC.

Haben Sie bestimmte Regeln für bedingten Zugriff konfiguriert, um einen bestimmten Gerätestatus zu erzwingen? Wenn das Gerät die Kriterien nicht erfüllt, wird der Benutzer blockiert und diese Meldung angezeigt. Überprüfen Sie die Regeln für die Richtlinie für bedingten Zugriff. Stellen Sie sicher, dass das Gerät die Kriterien erfüllt, um die Meldung zu vermeiden.

Häufige Ursachen für dieses Szenario sind:

• Ihre Benutzeranmeldeinformationen sind nicht mehr gültig.
• Ihr Computer kann nicht mit Microsoft Entra ID kommunizieren. Suchen Sie nach Netzwerkkonnektivitätsproblemen.
• Für Verbundanmeldungen muss der Verbundserver aktive und zugängliche WS-Trust-Endpunkte unterstützen.
• Sie haben die Passthrough-Authentifizierung aktiviert. Daher muss Ihr temporäres Kennwort geändert werden, wenn Sie sich anmelden.

Derzeit zwingen in Microsoft Entra eingebundene Geräte Benutzer nicht, das Kennwort auf dem Sperrbildschirm zu ändern. Daher werden Benutzer*innen mit temporären oder abgelaufenen Kennwörtern nur dann zu einer Kennwortänderung gezwungen, wenn sie nach der Anmeldung bei Windows auf eine Anwendung zugreifen (die ein Microsoft Entra-Token erfordert).

Dieser Fehler tritt auf, wenn Sie das Microsoft Entra-Feature der automatischen Registrierung bei Intune eingerichtet haben, ohne dass eine geeignete Lizenz zugewiesen wurde. Stellen Sie sicher, dass dem Benutzer, der ein Einbinden in Microsoft Entra versucht, die richtige Intune-Lizenz zugewiesen wurde. Weitere Informationen finden Sie unter Einrichten der Registrierung für Windows-Geräte.

Wahrscheinlich haben Sie sich mit dem lokalen integrierten Administratorkonto beim Gerät angemeldet. Erstellen Sie ein anderes lokales Konto, bevor Sie die Microsoft Entra-Einbindung verwenden, um das Setup abzuschließen.

Die P2P-Serveranwendung ist eine Anwendung, die von Microsoft Entra registriert wird, um RDP (Remote Desktop Protocol)-Verbindungen mit allen in Microsoft Entra eingebundenen oder hybrid in Microsoft Entra eingebundenen Windows-Geräten in Ihrem Mandanten zu aktivieren. Diese Anwendung erstellt ein mandantenweites Zertifikat, das von der Zertifizierungsstelle von Microsoft Entra ausgestellt und verwendet wird, um RDP-Geräte- und Benutzerzertifikate für RDP-Konnektivität auszustellen. Um sicherzustellen, dass dies die richtige Anwendung ist, finden Sie die Objekt-ID der P2P-Serveranwendung im Microsoft Entra Admin Center>Anwendungen>Unternehmensanwendung. Entfernen Sie den angewendeten Standardfilter, damit Sie alle Anwendungen sehen können. Vergleichen Sie diese Objekt-ID mithilfe der Microsoft Graph-API, um die Details mithilfe von GET /servicePrincipals/{objectid} abzufragen und zu bestätigen, dass die Eigenschaft „servicePrincipalNames“ urn:p2p_cert lautet.

Die MS-Organization-P2P-Access-Zertifikate werden von Microsoft Entra ID sowohl für Microsoft Entra eingebundene als auch für Microsoft Entra hybrid eingebundene Geräte ausgestellt. Diese Zertifikate werden verwendet, um die Vertrauensstellung zwischen Geräten desselben Mandanten für Remotedesktopszenarien zu ermöglichen. Ein Zertifikat wird für das Gerät und ein weiteres für den Benutzer ausgestellt. Das Gerätezertifikat befindet sich in Local Computer\Personal\Certificates und gilt für einen Tag. Dieses Zertifikat wird erneuert (durch Ausstellung eines neuen Zertifikats), wenn das Gerät noch in Microsoft Entra ID aktiv ist. Das Benutzerzertifikat wird nicht beibehalten und ist für eine Stunde gültig, wird aber auf Anfrage ausgestellt, wenn ein Benutzer eine Remotedesktopsitzung mit einem anderen in Microsoft Entra eingebundenen Gerät versucht. Es wird bei Ablauf nicht erneuert. Beide Zertifikate werden über das MS-Organisation-P2P-Access-Zertifikat in Local Computer\AAD Token Issuer\Certificates ausgegeben. Dieses Zertifikat wird von Microsoft Entra ID bei der Registrierung des Geräts ausgegeben.

Es ist nicht möglich, vorherige zwischengespeicherte Anmeldungen auf in Microsoft Entra eingebundenen Geräten zu deaktivieren oder ablaufen zu lassen.

Stellen Sie bei hybriden, in Microsoft Entra eingebundenen Geräten sicher, dass die automatische Registrierung bei AD deaktiviert ist. Lesen Sie dazu den Artikel Kontrollierte Überprüfung. Dann registrierte der geplante Task das Gerät nicht erneut. Öffnen Sie als nächstes die Eingabeaufforderung als Administrator, und geben Sie dsregcmd.exe /debug /leave ein. Oder führen Sie diesen Befehl als Skript für mehrere Geräte aus, um die Einbindung für diese Geräte gleichzeitig aufzuheben.

Informationen zur Problembehandlung finden Sie in diesen Artikeln:

• Problembehandlung bei hybrid in Microsoft Entra eingebundenen Windows 10- und Windows Server 2016-Geräten
• Problembehandlung für hybrid in Microsoft Entra eingebundene Geräte

Wenn Benutzer ihr Konto den Apps auf einem in die Domäne eingebundenen Gerät hinzufügen, wird ggf. eine Frage der Art Soll das Konto Windows hinzugefügt werden? angezeigt. Wenn sie bei dieser Aufforderung Ja eingeben, wird das Gerät bei Microsoft Entra ID registriert. Der Vertrauenstyp wird als in Microsoft Entra registriert gekennzeichnet. Nachdem Sie Microsoft Entra Hybrideinbindung in Ihrer Organisation aktiviert haben, wird das Gerät auch Microsoft Entra hybrid eingebunden. Dann werden zwei Gerätestatus für dasselbe Gerät angezeigt.

In den meisten Fällen hat die Microsoft Entra-Hybrideinbindung Vorrang vor dem Microsoft Entra registrierten Status, was dazu führt, dass Ihr Gerät für jede Authentifizierung und Bewertung des bedingten Zugriffs als hybrid in Microsoft Entra eingebunden betrachtet wird. Manchmal kann dieser zweifache Zustand jedoch zu einer nicht deterministischen Bewertung des Geräts und zu Zugriffsproblemen führen. Es wird dringend empfohlen, ein Upgrade auf Windows 10, Version 1803 und höher durchführen, bei dem der von Microsoft Entra registrierte Zustand automatisch bereinigt wird. Erfahren Sie mehr zum Vermeiden oder Bereinigen dieses zweifachen Zustands auf einem Windows 10-Computer.

UPN-Änderungen werden für das Windows 10-Update 2004 unterstützt und gelten auch für Windows 11. Bei Benutzern, die Geräte mit diesem Update verwenden, kann der UPN problemlos geändert werden.

UPN-Änderungen auf älteren Versionen von Windows 10 werden nicht vollständig auf in Microsoft Entra Hybrid eingebundenen Geräten unterstützt. Benutzer können sich zwar am Gerät anmelden und auf ihre lokalen Anwendungen zugreifen, bei der Authentifizierung mit Microsoft Entra ID tritt nach einer UPN-Änderung aber ein Fehler auf. Infolgedessen haben Benutzer Probleme mit SSO und bedingtem Zugriff auf ihren Geräten. Sie müssen das Gerät von Microsoft Entra ID trennen (führen Sie „dsregcmd /leave“ mit erhöhten Rechten aus) und sich wieder anmelden (geschieht automatisch), um das Problem zu lösen.

Nein, außer wenn das Kennwort des Benutzers geändert wird. Nachdem die Einrichtung von Microsoft Entra Hybrid Join unter Windows 10/11 abgeschlossen wurde und sich der Benutzer mindestens einmal angemeldet hat, benötigt das Gerät keine Sichtverbindung zum Domänencontroller, um auf Cloudressourcen zuzugreifen. Windows 10/11 kann das einmalige Anmelden bei Microsoft Entra-Anwendungen für jeden beliebigen Standort mit Internetverbindung einrichten, solange kein Kennwort geändert wird. Für Benutzer, die sich mit Windows Hello for Business anmelden, ist selbst nach einer Kennwortänderung weiterhin das einmalige Anmelden bei Microsoft Entra-Anwendungen verfügbar, auch wenn sie keine Sichtverbindung zu ihrem Domänencontroller haben.

Wenn ein Kennwort außerhalb des Unternehmensnetzwerks geändert wird (z. B. durch die Verwendung von Microsoft Entra SSPR), schlägt die Benutzeranmeldung mit dem neuen Kennwort fehl. Für hybrid in Microsoft Entra ID eingebundene Geräte ist die lokale Active Directory-Instanz die primäre Autorität. Wenn ein Gerät keine Sichtverbindung zu einem Domänencontroller hat, kann es das neue Kennwort nicht validieren. Der Benutzer muss eine Verbindung mit dem Domänencontroller herstellen (entweder über VPN oder im Unternehmensnetzwerk), bevor er sich mit seinem neuen Kennwort bei dem Gerät anmelden kann. Andernfalls können sich Benutzer*innen aufgrund der zwischengespeicherten Anmeldung in Windows nur mit ihrem alten Kennwort anmelden. Das alte Kennwort wird jedoch von Microsoft Entra ID während Tokenanforderungen ungültig gemacht und verhindert daher das einmalige Anmelden. Bei gerätebasierten Richtlinien für bedingten Zugriff tritt ein Fehler auf, bis sich die Benutzer*innen mit ihren neuen Kennwörtern in einer App oder einem Browser authentifizieren. Dieses Problem tritt nicht auf, wenn Sie mit Microsoft Entra verbundene Geräte verwenden.

• Bei Microsoft Entra registrierte Windows 10/11-Geräte: Navigieren Sie zu Einstellungen>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen. Wählen Sie Ihr Konto aus, und klicken Sie auf Trennen. Unter Windows 10/11 erfolgt die Geräteregistrierung pro Benutzerprofil.
• Unter iOS und Android können Sie die Microsoft Authenticator-App verwenden und Einstellungen>Geräteregistrierung und Geräteregistrierung aufheben auswählen.
• Unter macOS können Sie die Microsoft Intune-Unternehmensportalanwendung verwenden, um die Registrierung des Geräts in der Verwaltung aufzuheben und Registrierungen zu entfernen.

Bei Windows 10 Version 2004 und älter kann dieser Prozess mit dem Tool zum Entfernen von Workplace Join (WPJ) automatisiert werden.

Aktivieren Sie die folgende Registrierung, um zu verhindern, dass Benutzer Ihren Windows 10/11-Geräten, die in die Domäne, in Microsoft Entra oder in Microsoft Entra Hybrid eingebunden sind, weitere Geschäftskonten hinzufügen. Mit dieser Richtlinie können Sie auch verhindern, dass für in die Domäne eingebundene Computer versehentlich eine Microsoft Entra-Registrierung unter demselben Benutzerkonto durchgeführt wird.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Zugehöriger Inhalt

• Das Microsoft-Fehlersuchtool