Freigeben über

Verwalten von Geräteidentitäten über das Microsoft Entra Admin Center

Microsoft Entra ID bietet einen zentralen Ort zum Verwalten von Geräteidentitäten und zum Überwachen verwandter Ereignisinformationen.

Screenshot mit der Geräteübersicht.

Sie können auf die Geräteübersicht zugreifen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Benutzerkonto an, das mindestens über Standardbenutzerberechtigungen verfügt.
  2. Wechseln Sie zu Entra ID>Geräte>Übersicht.

In der Geräteübersicht finden Sie die Gesamtzahl aller Geräte, veraltete Geräte, nicht kompatible Geräte und nicht verwaltete Geräte. Es enthält Links zu Intune, bedingten Access, BitLocker-Schlüsseln und grundlegender Überwachung. Andere Funktionen wie bedingter Zugriff und Microsoft Intune erfordern zusätzliche Rollenzuweisungen.

Die Geräteanzahl auf der Übersichtsseite wird nicht in Echtzeit aktualisiert. Änderungen sollten alle paar Stunden reflektiert werden.

Von hier aus können Sie zu Alle Geräte wechseln, um folgende Aktivitäten auszuführen:

  • Identifizieren von Geräten, einschließlich der folgenden:
    • Geräte, die in Microsoft Entra ID eingebunden oder registriert sind.
    • Über Windows Autopilot bereitgestellte Geräte.
    • Drucker, die Universal Print verwenden.
  • Ausführen von Aufgaben zur Verwaltung von Geräteidentitäten (z. B. Aktivieren, Deaktivieren, Löschen und Verwalten)
    • Die Verwaltungsoptionen für Printers und Windows Autopilot sind in Microsoft Entra ID eingeschränkt. Diese Geräte müssen über die entsprechenden Verwaltungsoberflächen verwaltet werden.
  • Konfigurieren Sie Ihre Geräteidentitätseinstellungen.
  • Aktivieren oder Deaktivieren von Enterprise State Roaming
  • Überprüfen gerätebezogener Überwachungsprotokolle
  • Herunterladen von Geräten.

Screenshot mit der Ansicht

Tipp

  • Microsoft Entra-hybrid eingebundene Windows 10- oder neuere Geräte haben keinen Besitzer, es sei denn, der primäre Benutzer ist in Microsoft Intune festgelegt. Wenn Sie ein Gerät nach Besitzer suchen und es nicht finden, suchen Sie nach der Geräte-ID.

  • Wenn Sie in der Spalte Registriert ein Gerät sehen, das Microsoft Entra Hybrid-Verbund und den Status Ausstehend aufweist, bedeutet dies, dass das Gerät von Microsoft Entra Connect synchronisiert wurde und auf die vollständige Registrierung vom Client wartet. Weitere Informationen finden Sie unter So planen Sie die Implementierung eines hybriden Beitritts mit Microsoft Entra. Weitere Informationen finden Sie unter Device management häufig gestellte Fragen.

  • Bei einigen iOS-Geräten werden in Gerätenamen, die Apostrophzeichen enthalten, möglicherweise andere Zeichen verwendet, die wie ein Apostroph aussehen. Die Suche nach solchen Geräten ist also etwas kompliziert. Wenn die richtigen Suchergebnisse nicht angezeigt werden, stellen Sie sicher, dass die Suchzeichenfolge das entsprechende Apostroph enthält.

Verwalten eines Intune-Geräts

Wenn Sie über Berechtigungen zum Verwalten von Geräten in Intune verfügen, können Sie Geräte verwalten, für die mobile device management als Microsoft Intune aufgeführt ist. Wenn das Gerät nicht für Microsoft Intune registriert ist, ist die Option Manage nicht verfügbar.

Aktivieren oder Deaktivieren eines Microsoft Entra Geräts

Es gibt zwei Möglichkeiten, Geräte zu aktivieren oder zu deaktivieren:

  • Die Symbolleiste auf der Seite Alle Geräte, nachdem Sie ein oder mehrere Geräte ausgewählt haben
  • Die Symbolleiste nach dem Drilldown für ein bestimmtes Gerät

Wichtig

  • Sie müssen ein Intune-Administrator oder Cloudgeräteadministrator sein, um ein Gerät zu aktivieren oder zu deaktivieren.
  • Durch das Deaktivieren eines Geräts wird verhindert, dass es über Microsoft Entra ID authentifiziert wird. Dadurch wird verhindert, dass sie auf Ihre Microsoft Entra-Ressourcen zugreift, die durch gerätebasierte bedingte Access geschützt sind und Windows Hello für Unternehmen-Anmeldeinformationen verwenden.
  • Durch das Deaktivieren eines Geräts werden sowohl das primäre Aktualisierungstoken (Primary Refresh Token, PRT) als auch etwaige Aktualisierungstoken (Refresh Tokens, RT) auf dem Gerät widerrufen.
  • Drucker können in Microsoft Entra ID nicht aktiviert oder deaktiviert werden.

Löschen eines Microsoft Entra-Geräts

Es gibt zwei Möglichkeiten, ein Gerät zu löschen:

  • Die Symbolleiste auf der Seite Alle Geräte, nachdem Sie ein oder mehrere Geräte ausgewählt haben
  • Die Symbolleiste nach dem Drilldown für ein bestimmtes Gerät

Wichtig

  • Sie müssen ein Cloudgeräteadministrator, Intune-Administrator oder Windows 365 Administrator sein, um ein Gerät zu löschen.
  • Drucker können nicht gelöscht werden, bevor sie aus Universal Print gelöscht werden.
  • Windows Autopilot Geräte können nicht gelöscht werden, bevor sie aus Intune gelöscht werden.
  • Das Löschen eines Geräts:
    • Verhindert, dass über das Gerät auf Ihre Microsoft Entra-Ressourcen zugegriffen wird.
    • Entfernt alle Details, die an das Gerät angefügt sind. (z. B. BitLocker-Schlüssel bei Windows-Geräten)
    • ist eine nicht wiederherstellbare Aktivität Wir empfehlen es nicht, es sei denn, es ist erforderlich.

Wenn ein Gerät in einer anderen Verwaltungsbehörde wie Microsoft Intune verwaltet wird, stellen Sie sicher, dass es zurückgesetzt oder zurückgezogen wird, bevor Sie es löschen. Informieren Sie sich über das Verwalten veralteter Geräte, bevor Sie ein Gerät löschen.

Anzeigen oder Kopieren einer Geräte-ID

Mithilfe einer Geräte-ID können Sie Gerätedetails am Gerät überprüfen oder über PowerShell eine Problembehandlung vornehmen. Um die Kopieroption zu access, wählen Sie das Gerät aus.

Screenshot: Geräte-ID und Schaltfläche „Kopieren“.

Anzeigen oder Kopieren von BitLocker-Schlüsseln

Sie können die BitLocker-Schlüssel anzeigen und kopieren, um Benutzern die Wiederherstellung verschlüsselter Laufwerke zu ermöglichen. Diese Schlüssel sind nur für Windows-Geräte verfügbar, die verschlüsselt sind und ihre Schlüssel in Microsoft Entra ID speichern. Sie finden diese Schlüssel beim Zugriff auf die Details eines Geräts, indem Sie Wiederherstellungsschlüssel anzeigen auswählen. Wenn Sie Wiederherstellungsschlüssel anzeigen auswählen, wird ein Überwachungsprotokolleintrag generiert, den Sie in der Kategorie KeyManagement finden.

Screenshot, der zeigt, wie man BitLocker-Schlüssel anzeigen kann.

Um die BitLocker-Schlüssel anzuzeigen oder zu kopieren, müssen Sie Besitzer des Geräts sein oder über eine der folgenden Rollen verfügen:

Hinweis

Wenn Geräte, die Windows Autopilot verwenden, wiederverwendet werden, und es einen neuen Gerätebesitzer gibt, muss sich der neue Gerätebesitzer an einen Administrator wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erwerben. Benutzerdefinierte Rollen- oder Administratoren von Verwaltungseinheiten verfügen weiterhin über Zugriff auf BitLocker-Wiederherstellungsschlüssel für Geräte, die eine Änderung des Gerätebesitzes erfahren haben, es sei denn, der neue Gerätebesitzer gehört zu einem benutzerdefinierten Rollen- oder Verwaltungseinheitsbereich. In einem solchen Fall muss der Benutzer einen anderen bereichsbezogenen Administrator für die Wiederherstellungsschlüssel kontaktieren. Weitere Informationen finden Sie im Artikel Suchen des primären Benutzerkontos eines Intune-Geräts.

Anzeigen und Filtern Ihrer Geräte

Sie können die Geräteliste nach den folgenden Geräteattributen filtern:

  • Aktivierungszustand
  • Konformitätszustand
  • Join-Typ (Microsoft Entra eingebunden, Microsoft Entra hybrid eingebunden, Microsoft Entra registriert)
  • Aktivitätszeitstempel
  • Betriebssystemtyp und Betriebssystemversion
  • Gerätetyp (Drucker, sicherer virtueller Computer, freigegebenes Gerät, registriertes Gerät)
  • MDM
  • Autopilot
  • Erweiterungsattribute
  • Verwaltungseinheit
  • Besitzer

Herunterladen von Geräten

Cloudgeräteadministratoren und Intune-Administratoren können mithilfe der Option Geräte herunterladen eine CSV-Datei exportieren, in der Geräte aufgelistet sind. Sie können Filter anwenden, um zu bestimmen, welche Geräte aufgelistet werden sollen. Wenn Sie keine Filter anwenden, werden alle Geräte aufgelistet. Die exportierte Liste enthält die folgenden Geräteidentitätsattribute:

id,deviceId,isManaged,profileType,systemLabels,model,displayName,accountEnabled,operatingSystem,operatingSystemVersion,trustType(joinType),mdm,securitySettingsManagement,isCompliant,registrationDateTime,approximateLastSignInDateTime,owner,upnName

Hinweis

trustType ist der Ort, an dem JoinType bestimmt werden kann. Eine häufige Übersetzung ist:

  • AzureAD –> Microsoft Entra beigetreten
  • Workplace –> Microsoft Entra registriert
  • ServerAD –> Microsoft Entra Hybrid beigetreten

Die folgenden Filter können für den Exportvorgang angewendet werden:

  • Aktivierungszustand
  • Konformitätszustand
  • Join-Typ
  • Aktivitätszeitstempel
  • Betriebssystemtyp
  • Gerätetyp

Darüber hinaus können Spalten verwaltet werden, indem Sie "Ansichtsspalten > verwalten " auswählen, um zu aktivieren, welche Spalten Sie exportieren möchten.

Hinweis

Die Auswahl des Besitzer- oder Benutzerprinzipalnamens kann die Verarbeitung länger dauern. Wenn Sie schnellere Ergebnisse bevorzugen, lassen Sie diese Optionen deaktiviert; aktivieren Sie diese, wenn Sie die zusätzlichen Informationen benötigen.

Konfigurieren von Geräteeinstellungen

Wenn Sie Geräteidentitäten über das Microsoft Entra Admin Center verwalten möchten, müssen die Geräte entweder registriert oder verbunden mit Microsoft Entra ID sein. Als Administrator können Sie den Prozess der Registrierung und Einbindung von Geräten steuern, indem Sie die Geräteeinstellungen konfigurieren.

Sie müssen eine der folgenden Rollen zugewiesen bekommen haben, um Geräteeinstellungen lesen oder ändern zu können:

Screenshot mit Geräteeinstellungen im Zusammenhang mit Microsoft Entra ID.

  • Benutzer können Geräte mit Microsoft Entra ID: Mit dieser Einstellung können Sie die Benutzer auswählen, die ihre Geräte als in Microsoft Entra eingebundene Geräte registrieren können. Die Standardeinstellung ist Alle.

    Hinweis

    Die Einstellung Benutzer können Geräte mit Microsoft Entra ID verknüpfen gilt nur für die Microsoft Entra-Verknüpfung auf Windows 10 oder neuer. Diese Einstellung gilt nicht für Microsoft-Entra-hybrid eingebundene Geräte, Microsoft Entra-verbundene VMs in Azure oder Microsoft-Entra-verbundene Geräte, die den Windows Autopilot-Selbstausrollmodus verwenden, da diese Methoden in einem benutzerlosen Kontext funktionieren.

  • Benutzer können ihre Geräte bei Microsoft Entra ID: Sie müssen diese Einstellung konfigurieren, damit Benutzer Windows 10 oder neuere persönliche, iOS-, Android- und macOS-Geräte mit Microsoft Entra ID registrieren können. Wenn Sie None auswählen, dürfen sich Geräte nicht bei Microsoft Entra ID registrieren. Für die Registrierung bei Microsoft Intune oder mobiles Geräteverwaltung für Microsoft 365 ist eine Registrierung erforderlich. Wenn Sie einen dieser Dienste konfiguriert haben, ist ALLE ausgewählt, und die Option KEINER ist nicht verfügbar.

  • Erfordern Sie eine multifaktorielle Authentifizierung, um Geräte mit Microsoft Entra ID zu registrieren oder hinzuzufügen:

    • Es wird empfohlen, dass Organisationen die Aktion zum Registrieren oder Verbinden von Geräten in Conditional Access verwenden, um die Multifaktor-Authentifizierung zu erzwingen. Sie müssen diesen Umschalter für No konfigurieren, wenn Sie eine Conditional-Access-Richtlinie verwenden, um eine mehrstufige Authentifizierung zu erfordern.
    • Mit dieser Einstellung können Sie angeben, ob Benutzer einen anderen Authentifizierungsfaktor für die Verknüpfung bereitstellen oder ihre Geräte für Microsoft Entra ID registrieren müssen. Der Standardwert ist No. Es wird empfohlen, die mehrstufige Authentifizierung anzufordern, wenn ein Gerät registriert oder eingebunden wird. Bevor Sie die mehrstufige Authentifizierung für diesen Dienst aktivieren, müssen Sie sicherstellen, dass diese auch für die Benutzer konfiguriert ist, die ihre Geräte registrieren. Weitere Informationen zu microsoft Entra-mehrstufigen Authentifizierungsdiensten finden Sie unter getting started mit mehrstufiger Microsoft Entra-Authentifizierung. Diese Einstellung funktioniert möglicherweise nicht mit anderen Identitätsanbietern.

    Hinweis

    Die Einstellung Multifaktor-Authentifizierung zum Registrieren oder Hinzufügen von Geräten mit Microsoft Entra ID erforderlich gilt für Geräte, die entweder mit Microsoft Entra verbunden sind (mit einigen Ausnahmen) oder bei Microsoft Entra registriert sind. Diese Einstellung gilt nicht für Microsoft Entra hybrid beigetretene Geräte, Microsoft Entra beigetretene VMs in Azure oder Microsoft Entra beigetretene Geräte, die Windows Autopilot Self-Deployment Mode verwenden.

  • Maximum Anzahl von Geräten: Mit dieser Einstellung können Sie die maximale Anzahl von in Microsoft Entra eingebundenen oder von Microsoft Entra registrierten Geräten auswählen, die ein Benutzer in Microsoft Entra ID haben kann. Wenn ein Benutzer dieses Limit erreicht hat, kann er erst dann weitere Geräte hinzufügen, wenn eines oder mehrere der vorhandenen Geräte entfernt wurden. Der Standardwert lautet 50. Sie können den Wert auf bis zu 100 erhöhen. Wenn Sie einen Wert über 100 eingeben, legt Microsoft Entra ID ihn auf 100 fest. Sie können auch Unbegrenzt verwenden, um außer den vorhandenen Kontingentlimits keine Beschränkung zu erzwingen.

    Hinweis

    Die Einstellung Maximale Anzahl von Geräten gilt für Geräte, die entweder Microsoft Entra eingebunden sind oder Microsoft Entra registriert sind. Diese Einstellung gilt nicht für Microsoft Entra hybrid eingebundenen Geräte.

  • Weitere lokale Administratoren für in Microsoft Entra eingebundene Geräte verwalten: Mit dieser Einstellung können Sie die Benutzer und Benutzerinnen auswählen, denen lokale Administratorrechte auf einem Gerät erteilt werden. Diese Benutzer werden der Rolle "Geräteadministratoren" in Microsoft Entra ID hinzugefügt.

  • Aktivieren von Microsoft Entra Local Administrator Password Solution (LAPS) (Vorschau): LAPS ist die Verwaltung lokaler Kontokennwörter auf Windows-Geräten. Mit LAPS können Sie das integrierte lokale Administratorkennwort sicher verwalten und abrufen. Mit der Cloudversion von LAPS können Kunden das Speichern und Drehen von lokalen Administratorwörtern sowohl für Microsoft Entra ID als auch für Microsoft Entra-Hybridbeitrittsgeräte aktivieren. Informationen zum Verwalten von LAPS in Microsoft Entra ID finden Sie im übersichtsartikel.

  • Einschränkung, dass Benutzer, die keine Administratoren sind, die BitLocker-Schlüssel für ihre eigenen Geräte wiederherstellen können: Administratoren können den Selbstbedienungszugriff auf BitLocker-Schlüssel für den registrierten Besitzer des Geräts blockieren. Standardbenutzer*innen ohne die BitLocker-Leseberechtigung können ihre BitLocker-Schlüssel für ihre eigenen Geräte nicht anzeigen oder kopieren. Sie müssen mindestens ein Privileged Role Administrator sein, um diese Einstellung zu aktualisieren.

  • Enterprise State Roaming: Informationen zu dieser Einstellung finden Sie im Übersichtsartikel.

Überwachungsprotokolle

Geräteaktivitäten werden in den Aktivitätsprotokollen angezeigt. Diese Protokolle enthalten vom Geräteregistrierungsdienst und von Benutzern ausgelöste Aktivitäten:

  • Erstellen von Geräten und Hinzufügen von Besitzern/Benutzern auf dem Gerät
  • Änderungen der Geräteeinstellungen
  • Gerätevorgänge wie beispielsweise das Löschen oder Aktualisieren eines Geräts
  • Massenvorgänge wie das Herunterladen aller Geräte

Hinweis

Beim Ausführen von Massenvorgängen, z. B. importieren oder erstellen, können Sie ein Problem feststellen, wenn der Massenvorgang nicht innerhalb der Stunde abgeschlossen ist. Um dieses Problem zu umgehen, empfehlen wir, die Anzahl der pro Batch verarbeiteten Datensätze aufzuteilen. Vor dem Starten eines Exports können Sie z. B. das Resultset einschränken, indem Sie nach einem Gruppentyp oder Benutzernamen filtern, um die Größe der Ergebnisse zu verringern. Indem Sie Ihre Filter verfeinern, beschränken Sie im Wesentlichen die vom Massenvorgang zurückgegebenen Daten. Weitere Informationen finden Sie unter Einschränkungen des Massenvorgangsdiensts.

Ihr Einstiegspunkt für Überwachungsdaten ist die Option Überwachungsprotokolle im Abschnitt Aktivität auf der Seite Geräte.

Das Überwachungsprotokoll enthält eine Standardlistenansicht mit folgenden Informationen:

  • Datum und Uhrzeit des Auftretens
  • Ziele
  • Initiator/Akteur einer Aktivität
  • Die Aktivität.

Screenshot: Tabelle im Abschnitt „Aktivität“ auf der Seite „Geräte“. Die Tabelle enthält Datum, Ziel, Akteur und Aktivität für vier Überwachungsprotokolle.

Die Listenansicht kann durch Auswahl von Spalten in der Symbolleiste angepasst werden:

Screenshot, der die Symbolleiste auf der Seite „Geräte“ zeigt.

Um die Berichtsdaten auf eine Ebene zu reduzieren, die für Sie funktioniert, können Sie sie mithilfe der folgenden Felder filtern:

  • Kategorie
  • Aktivitätsressourcentyp
  • Aktivität
  • Datumsbereich
  • Ziel
  • Initiiert von (Akteur)

Sie können auch nach bestimmten Einträgen suchen.

Screenshot: Steuerelemente zum Filtern der Überwachungsdaten.

Nächste Schritte

  • Last updated on