Verwalten von Geräteidentitäten über das Microsoft Entra Admin Center
Microsoft Entra ID bietet Ihnen eine Zentrale zum Verwalten von Geräteidentitäten und zum Überwachen zugehöriger Ereignisinformationen.
Sie können auf die Geräteübersicht zugreifen, indem Sie die folgenden Schritte ausführen:
- Melden Sie sich beim Microsoft Entra Admin Center mit einem Benutzerkonto an, das mindestens über Standardbenutzerberechtigungen verfügt.
- Wechseln Sie zu Identität>Geräte>Übersicht.
In der Geräteübersicht finden Sie die Gesamtzahl aller Geräte, veraltete Geräte, nicht kompatible Geräte und nicht verwaltete Geräte. Dort finden Sie auch Links zu Intune, zum bedingten Zugriff, zu BitLocker-Schlüsseln und grundlegenden Überwachungsfunktionen. Andere Features wie bedingter Zugriff und Microsoft Intune erfordern zusätzliche Rollenzuweisungen.
Die Geräteanzahl auf der Übersichtsseite wird nicht in Echtzeit aktualisiert. Änderungen sollten innerhalb von ein paar Stunden widergespiegelt werden.
Von hier aus können Sie zu Alle Geräte wechseln, um folgende Aktivitäten auszuführen:
- Identifizieren von Geräten, einschließlich der folgenden:
- Geräte, die in Microsoft Entra ID eingebunden oder registriert wurden.
- Geräte, die mithilfe von Windows Autopilot bereitgestellt wurden
- Drucker, die Universal Print verwenden
- Ausführen von Aufgaben zur Verwaltung von Geräteidentitäten (z. B. Aktivieren, Deaktivieren, Löschen und Verwalten)
- Die Optionen zur Verwaltung von Druckern und Windows Autopilot sind in Microsoft Entra ID eingeschränkt. Diese Geräte müssen über die entsprechenden Verwaltungsoberflächen verwaltet werden.
- Konfigurieren Sie Ihre Geräteidentitätseinstellungen.
- Aktivieren oder Deaktivieren von Enterprise State Roaming
- Überprüfen gerätebezogener Überwachungsprotokolle
- Herunterladen von Geräten.
Tipp
Mit hybrid in Microsoft Entra eingebundene Windows 10-Geräte oder neuere Geräten haben keinen Besitzer, es sei denn, der*die primäre Benutzer*in ist in Microsoft Intune festgelegt. Wenn Sie ein Gerät nach Besitzer suchen und es nicht finden, suchen Sie nach der Geräte-ID.
Wenn in der Spalte Registriert ein Gerät mit dem Zusatz Hybrid in Microsoft Entra eingebunden und dem Status Ausstehend angezeigt wird, deutet das an, dass das Gerät von Microsoft Entra Connect synchronisiert wurde und auf die vollständige Registrierung vom Client wartet. Siehe Planen Ihrer Microsoft Entra-Hybridbeitritt-Implementierung. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Geräteverwaltung.
Bei einigen iOS-Geräten werden in Gerätenamen, die Apostrophzeichen enthalten, möglicherweise andere Zeichen verwendet, die wie ein Apostroph aussehen. Die Suche nach solchen Geräten ist also etwas kompliziert. Wenn keine korrekten Suchergebnisse angezeigt werden, stellen Sie sicher, dass die Suchzeichenfolge das passende Apostrophzeichen enthält.
Verwalten eines Intune-Geräts
Wenn Sie über Rechte zum Verwalten von Geräten in Intune verfügen, können Sie Geräte verwalten, bei denen Microsoft Intune für die Verwaltung mobiler Geräte aufgeführt ist. Ist das Gerät nicht bei Microsoft Intune registriert, ist die Option Verwalten nicht verfügbar.
Aktivieren oder Deaktivieren eines Microsoft Entra Geräts
Es gibt zwei Möglichkeiten, Geräte zu aktivieren oder zu deaktivieren:
- Die Symbolleiste auf der Seite Alle Geräte, nachdem Sie ein oder mehrere Geräte ausgewählt haben
- Die Symbolleiste nach dem Drilldown für ein bestimmtes Gerät
Wichtig
- Sie müssen „Intune-Administrator“ oder „Cloudgeräteadministrator“ sein, um ein Gerät aktivieren oder deaktivieren u können.
- Durch das Deaktivieren eines Geräts wird die Authentifizierung über Microsoft Entra ID verhindert. Dadurch kann es nicht mehr auf Ihre Microsoft Entra-Ressourcen zugreifen, die durch den gerätebasierten bedingten Zugriff geschützt sind, und es kann keine Windows Hello for Business-Anmeldeinformationen mehr verwenden.
- Durch das Deaktivieren eines Geräts werden sowohl das primäre Aktualisierungstoken (Primary Refresh Token, PRT) als auch etwaige Aktualisierungstoken (Refresh Tokens, RT) auf dem Gerät widerrufen.
- Drucker können in Microsoft Entra ID nicht aktiviert oder deaktiviert werden.
Löschen eines Microsoft Entra-Geräts
Es gibt zwei Möglichkeiten, ein Gerät zu löschen:
- Die Symbolleiste auf der Seite Alle Geräte, nachdem Sie ein oder mehrere Geräte ausgewählt haben
- Die Symbolleiste nach dem Drilldown für ein bestimmtes Gerät
Wichtig
- Zum Löschen eines Geräts müssen Sie „Cloudgeräteadministrator“, „Intune-Administrator“ oder „Windows 365-Administrator“ sein.
- Drucker erst gelöscht werden, nachdem sie aus Universal Print gelöscht worden sind.
- Windows Autopilot-Geräte können erst gelöscht werden, nachdem sie aus Intune gelöscht worden sind.
- Das Löschen eines Geräts:
- Verhindert, dass über das Gerät auf Ihre Microsoft Entra-Ressourcen zugegriffen wird.
- entfernt alle Details, die an das Gerät angefügt sind (z. B. BitLocker-Schlüssel bei Windows-Geräten)
- ist eine nicht wiederherstellbare Aktivität Wird nur empfohlen, wenn dies erforderlich ist.
Wenn ein Gerät in einer anderen Verwaltungsautorität wie Microsoft Intune verwaltet wird, stellen Sie sicher, dass es zurückgesetzt wurde oder nicht mehr verwendet wird, bevor Sie es löschen. Informieren Sie sich über das Verwalten veralteter Geräte, bevor Sie ein Gerät löschen.
Anzeigen oder Kopieren einer Geräte-ID
Mithilfe einer Geräte-ID können Sie Gerätedetails am Gerät überprüfen oder über PowerShell eine Problembehandlung vornehmen. Um auf die Kopieroption zuzugreifen, wählen Sie das Gerät aus.
Anzeigen oder Kopieren von BitLocker-Schlüsseln
Sie können die BitLocker-Schlüssel anzeigen und kopieren, um Benutzern die Wiederherstellung verschlüsselter Laufwerke zu ermöglichen. Diese Schlüssel sind nur für Windows-Geräte verfügbar, die verschlüsselt sind und deren Schlüssel in Microsoft Entra ID gespeichert sind. Sie finden diese Schlüssel beim Zugriff auf die Details eines Geräts, indem Sie Wiederherstellungsschlüssel anzeigen auswählen. Wenn Sie Wiederherstellungsschlüssel anzeigen auswählen, wird ein Überwachungsprotokolleintrag generiert, den Sie in der Kategorie KeyManagement
finden.
Um die BitLocker-Schlüssel anzuzeigen oder zu kopieren, müssen Sie Besitzer des Geräts sein oder über eine der folgenden Rollen verfügen:
- Cloudgeräteadministrator
- Helpdeskadministrator
- Intune-Administrator
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
Hinweis
Wenn Geräte, die Windows Autopilot verwenden, wiederverwendet werden und es neue Gerätebesitzer*innen gibt, müssen sich diese neuen Gerätebesitzer*innen an Administrator*innen wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erhalten. Administratoren für den Bereich benutzerdefinierte Rollen oder Verwaltungseinheiten werden den Zugriff auf BitLocker-Wiederherstellungsschlüssel für diejenigen Geräte verlieren, bei denen Änderungen am Gerätebesitz vorgenommen wurden. Diese bereichsbezogenen Administrator*innen müssen sich für die Wiederherstellungsschlüssel an nicht bereichsbezogene Administrator*innen wenden. Weitere Informationen finden Sie im Artikel Suchen des primären Benutzerkontos eines Intune-Geräts.
Anzeigen und Filtern Ihrer Geräte (Vorschau)
Sie können die Geräteliste nach den folgenden Geräteattributen filtern:
- Aktivierungszustand
- Konformitätszustand
- Jointyp (Microsoft Entra eingebunden, Microsoft Entra hybrid eingebunden, Microsoft Entra registriert)
- Aktivitätszeitstempel
- Betriebssystemtyp und Betriebssystemversion
- Windows wird für Geräte unter Windows 11 und Windows 10 (mit KB5006738) angezeigt.
- Windows Server wird für unterstützte, mit Microsoft Defender for Endpoint verwaltete Versionen angezeigt.
- Gerätetyp (Drucker, sicherer virtueller Computer, freigegebenes Gerät, registriertes Gerät)
- MDM
- Autopilot
- Erweiterungsattribute
- Verwaltungseinheit
- Besitzer
Herunterladen von Geräten
Cloudgeräteadministratoren und Intune-Administratoren können mithilfe der Option Geräte herunterladen eine CSV-Datei exportieren, in der Geräte aufgelistet sind. Sie können Filter anwenden, um zu bestimmen, welche Geräte aufgelistet werden sollen. Wenn Sie keine Filter anwenden, werden alle Geräte aufgelistet. Abhängig von Ihrer Auswahl kann das Ausführen einer Exportaufgabe bis zu einer Stunde dauern. Wenn die Exportaufgabe länger als 1 Stunde dauert, wird sie nicht abgeschlossen, und es wird keine Datei ausgegeben.
Die exportierte Liste enthält die folgenden Geräteidentitätsattribute:
displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model
Die folgenden Filter können für den Exportvorgang angewendet werden:
- Aktivierungszustand
- Konformitätszustand
- Join-Typ
- Aktivitätszeitstempel
- Betriebssystemtyp
- Gerätetyp
Konfigurieren von Geräteeinstellungen
Wenn Sie Geräteidentitäten im Microsoft Entra Admin Center verwalten möchten, müssen diese in Microsoft Entra ID registriert oder eingebunden sein. Als Administrator können Sie den Prozess der Registrierung und Einbindung von Geräten steuern, indem Sie die Geräteeinstellungen konfigurieren.
Sie müssen eine der folgenden Rollen zugewiesen bekommen haben, um Geräteeinstellungen lesen oder ändern zu können:
- Cloudgeräteadministrator (Lesen und Ändern)
- Intune-Administrator (schreibgeschützt)
- Windows 365-Administrator (schreibgeschützt)
Benutzer dürfen Geräte in Microsoft Entra ID einbinden: Diese Einstellung ermöglicht Ihnen die Auswahl der Benutzer, die ihre Geräte als in Microsoft Entra eingebundene Geräte registrieren können. Die Standardeinstellung ist Alle.
Hinweis
Die Einstellung Benutzer können Geräte mit der Microsoft Entra ID verbinden gilt nur für Microsoft Entra join auf Windows 10 oder neuer. Diese Einstellung gilt nicht für hybrid in Microsoft Entra eingebundene Geräte, in Microsoft Entra eingebundene Azure-VMs oder in Microsoft Entra eingebundene Geräte, die den Selbstbereitstellungsmodus von Windows Autopilot verwenden, da diese Methoden in einem Kontext ohne Benutzer funktionieren.
Benutzer dürfen ihre Geräte bei Microsoft Entra ID registrieren: Sie müssen diese Einstellung konfigurieren, um Benutzern die Registrierung von persönlichen Geräten mit Windows 10 oder höher sowie iOS-, Android- und macOS-Geräten bei Microsoft Entra ID zu erlauben. Bei Auswahl von Keine dürfen Geräte nicht bei Microsoft Entra ID registriert werden. Für die Anmeldung bei Microsoft Intune oder die mobile Geräteverwaltung für Microsoft 365 ist eine Registrierung erforderlich. Wenn Sie einen dieser Dienste konfiguriert haben, ist ALLE ausgewählt, und die Option KEINER ist nicht verfügbar.
Zum Registrieren oder Einbinden von Geräten in Microsoft Entra ID Multi-Faktor-Authentifizierung anfordern:
- Wir empfehlen Organisationen, beim bedingten Zugriff die Benutzeraktion Registrieren oder Einbinden von Geräten zu verwenden, um die Multi-Faktor-Authentifizierung zu erzwingen. Sie müssen diesen Umschalter auf Nein festlegen, wenn Sie eine Richtlinie für bedingten Zugriff zum Anfordern einer Multi-Faktor-Authentifizierung nutzen.
- Mit dieser Einstellung können Sie angeben, ob Benutzer einen zusätzlichen Authentifizierungsfaktor bereitstellen müssen, um ihre Geräte in Microsoft Entra ID einbinden oder bei Microsoft Entra ID registrieren zu können. Der Standardwert ist No. Es wird empfohlen, die mehrstufige Authentifizierung anzufordern, wenn ein Gerät registriert oder eingebunden wird. Bevor Sie die mehrstufige Authentifizierung für diesen Dienst aktivieren, müssen Sie sicherstellen, dass diese auch für die Benutzer konfiguriert ist, die ihre Geräte registrieren. Weitere Informationen zur Microsoft Entra Multi-Faktor-Authentifizierung finden Sie unter Erste Schritte mit der Microsoft Entra-Multi-Faktor-Authentifizierung. Diese Einstellung funktioniert möglicherweise nicht mit anderen Identitätsanbietern.
Hinweis
Die Einstellung Mehrstufige Authentifizierung zum Registrieren oder Beitreten von Geräten mit Microsoft Entra ID erforderlich gilt für Geräte, die entweder Microsoft Entra eingebunden sind (mit einigen Ausnahmen) oder Microsoft Entra registriert sind. Diese Einstellung gilt nicht für hybrid in Microsoft Entra eingebundene Geräte, in Microsoft Entra eingebundene Azure-VMs oder in Microsoft Entra eingebundene Geräte, die den Selbstbereitstellungsmodus von Windows Autopilot verwenden.
Maximale Anzahl von Geräten: Mit dieser Einstellung können Sie die maximale Anzahl von Microsoft Entra verbundenen oder Microsoft Entra registrierten Geräten auswählen, die ein Benutzer in Microsoft Entra ID besitzen kann. Wenn ein Benutzer dieses Limit erreicht hat, kann er erst dann weitere Geräte hinzufügen, wenn eines oder mehrere der vorhandenen Geräte entfernt wurden. Der Standardwert lautet 50. Sie können den Wert auf bis zu 100 erhöhen. Wenn Sie einen Wert über 100 eingeben, legt Microsoft Entra ID ihn auf 100 fest. Sie können auch Unbegrenzt verwenden, um außer den vorhandenen Kontingentlimits keine Beschränkung zu erzwingen.
Hinweis
Die Einstellung Maximale Anzahl von Geräten gilt für Geräte, die entweder Microsoft Entra eingebunden sind oder Microsoft Entra registriert sind. Diese Einstellung gilt nicht für Microsoft Entra hybrid eingebundenen Geräte.
Weitere lokale Administratoren für in Microsoft Entra eingebundene Geräte verwalten: Mit dieser Einstellung können Sie die Benutzer und Benutzerinnen auswählen, denen lokale Administratorrechte auf einem Gerät erteilt werden. Diese Benutzer werden der Rolle „Geräteadministratoren“ in Microsoft Entra ID hinzugefügt.
Aktivieren von Microsoft Entra Local Administrator Password Solution (LAPS) (Vorschau): LAPS ist die Verwaltung lokaler Kontokennwörter auf Windows-Geräten. Mit LAPS können Sie das integrierte lokale Administratorkennwort sicher verwalten und abrufen. Mit der Cloudversion von LAPS können Kunden das Speichern und Rotieren lokaler Administratorkennwörter für Microsoft Entra ID- und Hybrid-Microsoft Entra-Joingeräte aktivieren. Informationen zum Verwalten von LAPS in Microsoft Entra ID finden Sie im Übersichtsartikel.
Einschränken der Wiederherstellung der BitLocker-Schlüssel für ihre eigenen Geräte durch Nicht-Administratorbenutzer: Administratoren können den BitLocker-Self-Service-Schlüsselzugriff für den registrierten Besitzer des Geräts blockieren. Standardbenutzer*innen ohne die BitLocker-Leseberechtigung können ihre BitLocker-Schlüssel für ihre eigenen Geräte nicht anzeigen oder kopieren. Sie müssen mindestens über die Rechte als Privilegierter Rollenadministrator verfügen, um diese Einstellung aktualisieren zu können.
Enterprise State Roaming: Informationen zu dieser Einstellung finden Sie im Übersichtsartikel.
Überwachungsprotokolle
Geräteaktivitäten werden in den Aktivitätsprotokollen angezeigt. Diese Protokolle enthalten vom Geräteregistrierungsdienst und von Benutzern ausgelöste Aktivitäten:
- Erstellen von Geräten und Hinzufügen von Besitzern/Benutzern auf dem Gerät
- Änderungen der Geräteeinstellungen
- Gerätevorgänge wie beispielsweise das Löschen oder Aktualisieren eines Geräts
- Massenvorgänge wie das Herunterladen aller Geräte
Hinweis
Beim Ausführen von Massenvorgängen, z. B. Importieren oder Erstellen, tritt möglicherweise ein Problem auf, wenn der Massenvorgang nicht innerhalb der Stunde abgeschlossen ist. Um dieses Problem zu umgehen, empfehlen wir, die Anzahl der pro Batch verarbeiteten Datensätze aufzuteilen. Vor dem Starten eines Exports können Sie z. B. das Resultset einschränken, indem Sie nach einem Gruppentyp oder Benutzernamen filtern, um die Größe der Ergebnisse zu verringern. Indem Sie Ihre Filter verfeinern, beschränken Sie im Wesentlichen die vom Massenvorgang zurückgegebenen Daten. Weitere Informationen finden Sie unter Einschränkungen des Massenvorgangsdiensts.
Ihr Einstiegspunkt für Überwachungsdaten ist die Option Überwachungsprotokolle im Abschnitt Aktivität auf der Seite Geräte.
Das Überwachungsprotokoll enthält eine Standardlistenansicht mit folgenden Informationen:
- Datum und Uhrzeit des Auftretens
- Ziele
- Initiator/Akteur einer Aktivität
- Die Aktivität.
Die Listenansicht kann durch Auswahl von Spalten in der Symbolleiste angepasst werden:
Um die Berichtsdaten auf eine Ebene zu reduzieren, die für Sie funktioniert, können Sie sie mithilfe der folgenden Felder filtern:
- Kategorie
- Aktivitätsressourcentyp
- Aktivität
- Datumsbereich
- Target
- Initiiert von (Akteur)
Sie können auch nach bestimmten Einträgen suchen.